Post 2461 av 7181 träffar
Vissa register för forskning om vad arv och miljö betyder för människors hälsa Prop. 2012/13:163
Ansvarig myndighet: Utbildningsdepartementet
Dokument: Prop. 163
Regeringens proposition
2012/13:163
Vissa register för forskning om vad arv och miljö betyder för människors hälsa
Prop.
2012/13:163
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 23 maj 2013
Fredrik Reinfeldt
Maria Arnholm
(Utbildningsdepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås en ny lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa. Förslaget innebär att det införs ett tydligt rättsligt stöd för statliga universitet och högskolor att med den enskildes uttryckliga samtycke behandla personuppgifter i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Bestämmelserna i lagen innebär ett skydd för enskildas personliga integritet i den verksamheten.
I propositionen föreslås också en lag om ändring i offentlighets- och sekretesslagen (2009:400). Förslaget innebär bl.a. att det införs en ny bestämmelse om sekretess för uppgifter om enskildas personliga förhållanden i verksamhet som avser förande av eller uttag ur register enligt den föreslagna lagen.
Lagarna föreslås träda i kraft den 1 november 2013. I avvaktan på en av regeringen beslutad generell översyn av förutsättningarna för registerbaserad forskning föreslår regeringen att lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa ska vara tidsbegränsad och gälla till och med den 31 december 2015.
Innehållsförteckning
1 Förslag till riksdagsbeslut 4
2 Lagtext 5
2.1 Förslag till lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa 5
2.2 Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400) 9
3 Ärendet och dess beredning 12
4 Bakgrund 12
4.1 Befolkningsbaserad forskning 12
4.2 Gällande rätt 13
4.2.1 Personuppgiftslagen 13
4.2.2 Regleringen som avser hälsodataregister 15
4.2.3 Kvalitetsregister 16
4.2.4 Biobankslagen 17
4.2.5 Lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering 18
4.2.6 Etikprövningslagen 19
4.3 Särskilt om projektet LifeGene 19
4.4 Pågående utredningsarbete 22
5 En ny lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa 23
5.1 Lagens syfte och tillämpningsområde 23
5.2 Förhållandet till personuppgiftslagen 30
5.3 Personuppgiftsansvar 32
5.4 Ändamålen med behandlingen av personuppgifter 32
5.5 Personuppgifterna i registret 38
5.6 Behandlingen av personuppgifter 42
5.7 Samtycke, information, rätt till utplåning av uppgifter 51
5.7.1 Samtycke och information 51
5.7.2 Underåriga 53
5.7.3 Information om utlämnande av uppgifter till forskningsprojekt och rätten att få personuppgifter utplånade 56
5.8 Underrättelseskyldighet 59
5.9 Skadestånd 60
6 Sekretess 61
6.1 Offentlighetsprincipen och sekretessregleringen 61
6.2 En ny sekretessbestämmelse 64
7 Ikraftträdande 75
8 Konsekvenser 76
9 Författningskommentar 76
9.1 Förslaget till lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa 76
9.2 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400) 86
Bilaga 1 Sammanfattning av promemorian Förslag till förordning om register för viss befolkningsbaserad forskning (U2012/3414/F) 89
Bilaga 2 Promemorians förordningsförslag (U2012/3414/F) 90
Bilaga 3 Förteckning över remissinstanserna avseende promemorian (U2012/3414/F) 92
Bilaga 4 Sammanfattning av promemorian Utkast till lagrådsremiss Register för viss forskning (U2013/527/F) 93
Bilaga 5 Promemorians lagförslag (U2013/527/F) 94
Bilaga 6 Förteckning över remissinstanserna avseende promemorian (U2013/527/F) 100
Bilaga 7 Lagrådsremissens lagförslag 101
Bilaga 8 Lagrådets yttrande 108
Utdrag ur protokoll vid regeringssammanträde den 23 maj 2013 111
1
Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa,
2. lag om ändring i offentlighets- och sekretesslagen (2009:400).
2
Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att
1. ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och
2. skydda den enskildes personliga integritet i sådan verksamhet.
Lagens tillämpningsområde
2 § Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med den enskildes uttryckliga samtycke sker i sådant syfte som anges i 1 § 1.
Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt denna lag och vilka register enligt lagen som får föras.
Förhållandet till personuppgiftslagen
3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag.
Personuppgiftsansvar
4 § De universitet eller högskolor som utför behandlingen av personuppgifter är personuppgiftsansvariga.
Ändamål
5 § Personuppgifter får behandlas för ändamålen att
1. skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och
2. lämna ut uppgifter för sådan forskning som anges i 1 i den utsträckning och på det sätt som anges i 6 §.
6 § Personuppgifter som har registrerats enligt 9 § får lämnas ut till sådan forskning som avses i 5 § 1 under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor och att forskningen bedrivs vid en myndighet.
Utlämnande enligt första stycket får endast avse personuppgifter som inte är direkt hänförliga till den enskilde. Personuppgifterna får dock vid utlämnandet vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till den registrerades personnummer eller motsvarande identitetsbeteckning.
7 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också lämnas ut till en utredning av oredlighet i sådan forskning som avses i 6 § första stycket eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning. Vid sådana utlämnanden ska 6 § andra stycket gälla.
Om personuppgifter har lämnats ut enligt 6 § första stycket får den personuppgiftsansvarige till en annan myndighet lämna ut sådana beteckningar som avses i 6 § andra stycket och de registrerades personnummer eller motsvarande identitetsbeteckning, om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till den forskning som utlämnande har skett till enligt 6 § första stycket 1.
Personuppgifter som har registrerats enligt denna lag får alltid lämnas ut till den registrerade själv.
8 § Personuppgifter som behandlas för de ändamål som anges i 5 § får, utöver vad som följer av 6 och 7 §§, bara lämnas ut om det finns en skyldighet enligt lag att göra det.
Personuppgifter i ett register som förs enligt denna lag får bara behandlas för sådana ändamål som anges i första stycket och 5-7 §§ samt för sådant bevarande som anges i 12 §.
Personuppgifterna i registret
9 § I ett register enligt denna lag får det i fråga om personuppgifter bara finnas
1. uppgifter som den registrerade själv har lämnat i syfte att de ska ingå i registret,
2. uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i registret,
3. uppgifter om undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i registret,
4. kategoriseringar av sådana uppgifter som avses i 1-3,
5. kontaktinformation till den registrerade,
6. andra uppgifter än som avses i 1-5 och som den registrerade uttryckligen har samtyckt till får ingå i registret, och
7. uppgifter om utlämnande som har skett till forskning.
Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.
Intern elektronisk åtkomst
10 § Den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret.
Utlämnande genom direktåtkomst
11 § Utlämnande genom direktåtkomst till personuppgifter i registret får inte förekomma.
Gallring
12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Rättelse
13 § Bestämmelserna i 28 § personuppgiftslagen (1998:204) om rättelse tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag.
Samtycke och information
14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.
Innan en person lämnar sitt samtycke enligt första stycket ska han eller hon ha informerats om
1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,
2. för vilka ändamål behandling kan ske enligt 5-7 §§ och vilka uppgifter som får registreras enligt 9 §,
3. de sekretess- och säkerhetsbestämmelser som gäller för registret,
4. vem som är personuppgiftsansvarig,
5. hur länge uppgifterna sparas,
6. rätten till rättelse av uppgifterna,
7. rätten till information enligt 15 § denna lag och 26 § personuppgiftslagen (1998:204),
8. vilken myndighet som har tillsyn över att denna lag följs,
9. rätten till skadestånd, och
10. rätten att få uppgifter utplånade.
Information om utlämnande till forskning
15 § Den registrerade har rätt att på begäran få information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut.
Utplåning av uppgifter
16 § Den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar utplåning av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges.
Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes utplåna uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärt utplåning även av uppgifter som avses i 9 § första stycket 7 ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den enskilde har rätt att begära att även få dem utplånade.
Skadestånd
17 § Bestämmelserna i 48 § personuppgiftslagen (1998:204) om skadestånd tillämpas på motsvarande sätt i fråga om behandling av personuppgifter som har skett i strid med denna lag.
Denna lag träder i kraft den 1 november 2013 och gäller till och med den 31 december 2015.
2.2
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 10 kap. 23 och 27 §§ samt 24 kap. 9 § ska ha följande lydelse,
dels att det i lagen ska införas två nya paragrafer, 24 kap. 2 a och 2 b §§ samt före 24 kap. 2 a och b §§ tre nya rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
10 kap.
23 §
Om inte annat följer av 19-22 §§ får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 8 §, 25 kap. 1 §, 2 § andra stycket eller 3-8 §§, 26 kap. 1-6 §§, 29 kap. 1 §, 31 kap 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, polismyndighet eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
Om inte annat följer av 19-22 §§ får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket eller 3-8 §§, 26 kap. 1-6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, polismyndighet eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,
2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller
3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
27 §
Utöver vad som följer av 2, 3, 5 och 15-26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 8 §, 25 kap. 1-8 §§, 26 kap. 1-6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1-8 §§, 26 kap. 1-6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen (1998:204).
24 kap.
Vissa register för forskning om vad arv och miljö betyder för människors hälsa
Förande av och uttag ur register
2 a §
Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (0000:000) om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde.
Sekretessen hindrar inte att uppgift lämnas ut i den utsträckning som framgår av den lag som avses i första stycket. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Överföring av sekretess
2 b §
Får en myndighet en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen (0000:000) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, blir 2 a § tillämplig även hos den mottagande myndigheten.
9 §
Den tystnadsplikt som följer av 8 § och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
Denna lag träder i kraft den 1 november 2013.
3
Ärendet och dess beredning
Den 13 juni 2012 upprättades en promemoria inom Regeringskansliet (Utbildningsdepartementet) med förslag till en förordning om register för viss befolkningsbaserad forskning (U2012/3414/F). Bakgrunden till att promemorian upprättades var att det genom ett beslut från Datainspektionen uppstått en rättslig osäkerhet om huruvida det finns förutsättningar för att efter samtycke från enskilda skapa register som innehåller personuppgifter i syfte att lämna ut uppgifterna för forskning. Promemorian har remissbehandlats. En sammanfattning av promemorians innehåll finns i bilaga 1. Promemorians förordningsförslag finns i bilaga 2. En förteckning över remissinstanserna finns i bilaga 3 och en sammanställning av remissyttrandena finns tillgänglig i Utbildningsdepartementet (U2012/3414/F).
Inom Utbildningsdepartementet utarbetades därefter en promemoria med utkast till lagrådsremiss Register för viss forskning (U2013/527/F). Promemorian har remissbehandlats och ett remissmöte hölls den 13 februari 2013. En sammanfattning av promemorians innehåll finns i bilaga 4 och promemorians lagförslag finns i bilaga 5. En förteckning över remissinstanserna finns i bilaga 6 och ett protokoll från remissmötet samt en sammanställning av remissyttrandena finns tillgänglig i Utbildningsdepartementet (U2013/527/F).
Under den fortsatta beredningen har följande myndigheter och organ beretts tillfälle att yttra sig över ett utkast till lagrådsremiss: Kammar-rätten i Stockholm, Datainspektionen, Socialstyrelsen, Statens folkhälso-institut, Vetenskapsrådet, Centrala etikprövningsnämnden, Riksarkivet, Sveriges Kommuner och Landsting, Skåne läns landsting, Cancerfonden, Statens medicinsk-etiska råd och Svenska Journalistförbundet. De inkomna synpunkterna finns tillgängliga i Utbildningsdepartementet (U2013/2580/F).
Lagrådet
Regeringen beslutade den 18 april 2013 att inhämta Lagrådets yttrande över det lagförslag som finns i bilaga 7. Lagrådets yttrande finns i bilaga 8.
Regeringen har i huvudsak följt Lagrådets förslag, men har i vissa frågor gjort en annan bedömning. Lagrådets synpunkter behandlas i avsnitt 5.4, 5.6, 5.9 och 9.1. I förhållande till lagrådsremissens lagförslag har vissa språkliga ändringar gjorts.
4 Bakgrund
4.1 Befolkningsbaserad forskning
Resultat av forskning där man med underlag från befolkningsbaserade register studerar samband mellan t.ex. arv, miljö och hälsa ger viktig kunskap för utveckling av såväl vård och behandling som förebyggande folkhälsoarbete. Det finns olika typer av befolkningsbaserade register som kan användas för forskning. Det finns register i vilka uppgifter samlas in med stöd av uppgiftsskyldigheter för myndigheter, dvs. utan samtycke av den enskilde, t.ex. de s.k. hälsodataregister som förs av Socialstyrelsen. Det finns också register som förs utan den enskildes uttryckliga samtycke, men där den enskilde har rätt att motsätta sig registrering med följd att uppgifter om honom eller henne inte får registreras, eller om så redan har skett, ska utplånas (s.k. opt-out-modell). Exempel på sådana register är de nationella och regionala kvalitetsregistren som förs inom hälso- och sjukvården. Det finns även register som bygger på att frivilliga deltagare bidrar med uppgifter om t.ex. längd, vikt och blodtryck kopplade till blod och plasmaprover. I dessa fall fyller ofta deltagarna i enkäter om t.ex. rökning, medicinering, kostvanor och livsstil. Genom att sedan regelbundet följa deltagarna med hjälp av olika register är det möjligt att undersöka komplexa förhållanden mellan, å ena sidan, arv och miljö och, å andra sidan, uppkomst av olika sjukdomar eller människors hälsa i övrigt.
Som exempel på resultat av befolkningsbaserad forskning kan nämnas att det har kunnat fastställas hur hormoner påverkar utveckling av bröst- och prostatacancer samt hjärt- och kärlsjukdom och vilken roll virusinfektioner har när det gäller att utveckla livmoderhalscancer.
4.2 Gällande rätt
4.2.1 Personuppgiftslagen
Personuppgiftslagen (1998:204) baseras på Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Direktivet utgör i sin tur en precisering av Europarådets dataskyddskonvention (CETS 108), och dess tilläggsprotokoll. Konventionen kompletteras av ett antal rekommendationer som har antagits av ministerkommittén om hur personuppgifter bör behandlas inom olika områden. Sverige har, i likhet med övriga medlemsstater i EU, anslutit sig till dataskyddskonventionen.
Under 2010 inledde Europarådet en översyn av dataskyddskonventionen. Vidare lämnade Europeiska kommissionen i januari 2012 förslag till en ny EU-förordning som är avsedd att ersätta dataskyddsdirektivet. Hur lång tid det kommer att ta innan översynen av Europakonventionen är klar eller när ett nytt dataskyddsregelverk kan vara på plats inom EU är svårt att förutse.
Personuppgiftslagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter och därutöver på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Med personuppgifter avses enligt lagen all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §). Även bild- och ljuduppgifter som kan hänföras till en person kan omfattas. Lagens bestämmelser kan även vara tillämpliga vid hantering av t.ex. kodade uppgifter eller pseudonymer.
Med behandling avses enligt personuppgiftslagen varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring (3 §).
Personuppgiftsansvarig är enligt lagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (3 §).
I personuppgiftslagen ställs det upp vissa grundläggande krav på den personuppgiftsansvariges behandling av personuppgifter (9 §). Av kraven framgår att den personuppgiftsansvarige ska se till bl.a. att personuppgifter bara behandlas om det är lagligt och att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen. Vidare ska personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. En uppgift får inte behandlas för något ändamål som är oförenligt med det ändamål för vilket den samlades in. Sistnämnda princip kallas för finalitetsprincipen. En behandling för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Den personuppgiftsansvarige ska också se till att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Dessutom ska alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.
Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter får emellertid bevaras för historiska, statistiska eller vetenskapliga ändamål under en längre tid. I sådana fall får uppgifterna dock inte bevaras under en längre tid än vad som behövs för dessa ändamål. Bestämmelserna i lagen hindrar emellertid inte att en myndighet arkiverar och bevarar allmänna handlingar (8 § andra stycket).
Enligt personuppgiftslagen får personuppgifter bara behandlas under vissa förutsättningar (10 §). Minst en av dessa förutsättningar måste vara uppfylld för att en behandling ska vara tillåten enligt lagen. En sådan är att den registrerade har lämnat sitt samtycke till behandlingen. En alternativ förutsättning är t.ex. om behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras.
För vissa slag av uppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Enligt lagen är det som huvudregel förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla personuppgifter som rör hälsa eller sexualliv (13 §). Uppgifter som avses i 13 § betecknas som känsliga personuppgifter. Det finns emellertid i personuppgiftslagen flera undantag från förbudet mot att behandla känsliga personuppgifter. Ett undantag är om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna (15 §). Vidare får känsliga personuppgifter behandlas för forskningsändamål, om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (19 §).
Uppgifter om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av säker identifiering eller något annat beaktansvärt skäl (22 §).
Om det i en annan lag eller förordning finns bestämmelser som avviker från personuppgiftslagen, ska de bestämmelserna gälla (2 §). Sådana avvikande bestämmelser finns bl.a. i särskilda s.k. registerförfattningar, t.ex. lagen (1998:543) om hälsodataregister och patientdatalagen (2008:355). Om det område som ska regleras genom särlagstiftningen omfattas av dataskyddskonventionens tillämpningsområde måste dock särlagstiftningen vara förenlig med konventionen. På motsvarande sätt måste särregleringen vara förenlig med dataskyddsdirektivet om särregleringen omfattas av dess tillämpningsområde. De områden som inte omfattas av dataskyddsdirektivet är dels sådana områden som inte omfattas av den tidigare gemenskapsrätten, t.ex. brottsbekämpning, allmän säkerhet och landets försvar, dels behandling av personuppgifter som utförs av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll.
De ovan nämnda exemplen på registerlagar, lagen om hälsodataregister och patientdatalagen, omfattas av dataskyddsdirektivets tillämpningsområde. Dessa regleringar måste alltså vara förenliga med bl.a. artikel 6.1 i dataskyddsdirektivet som t.ex. stadgar att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål samt att en uppgift inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket den samlades in (jfr 9 § personuppgiftslagen).
I registerförfattningar skiljer man ofta mellan primära och sekundära ändamål. De primära ändamålen avser myndighetens eget behov av att behandla personuppgifter medan de sekundära ändamålen avser myndighetens utlämnande av uppgifter för att tillgodose andras, myndigheters eller enskildas, behov.
4.2.2 Regleringen som avser hälsodataregister
Enligt lagen (1998:543) om hälsodataregister får central förvaltningsmyndighet inom hälso- och sjukvården utföra automatiserad behandling av personuppgifter i hälsodataregister (1 §). Uppgifter i ett sådant register får behandlas för ändamålen framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt forskning och epidemiologiska undersökningar (3 §).
Den som bedriver verksamhet inom hälso- och sjukvården ska enligt 4 § lämna uppgifter till ett hälsodataregister för de ändamål som anges i 3 §. Enligt 12 § får regeringen lämna föreskrifter bl.a. om 1. vilka myndigheter som får föra hälsodataregister, 2. begränsning i de i 3 § angivna ändamålen och 3. begränsningar av de uppgifter som ett hälsodataregister får innehålla.
I förarbetena till lagen om hälsodataregister anges att regeringen avser att vid utfärdandet av föreskrifter för varje särskilt hälsodataregister ta ställning till om ett register ska omfatta ett eller flera av ovan nämnda ändamål och om ändamålet ska preciseras ytterligare (prop. 1997/98:108 s. 48).
Regeringen har utfärdat flera förordningar om hälsodataregister. I vissa av dessa förordningar har ändamålet för behandlingen preciserats. Ett sådant exempel är förordningen (2001:709) om cancerregister hos Socialstyrelsen. Enligt den förordningen får personuppgifter i registret behandlas för framställning av statistik, uppföljning och utvärdering av insatser för att förebygga cancersjuklighet, utvärdering av hälsokontroller samt forskning och epidemiologiska undersökningar inom cancerområdet.
Det finns även tre förordningar där ändamålet "forskning och epidemiologiska undersökningar" inte har preciserats ytterligare. Det är förordningen (2001:707) om patientregister hos Socialstyrelsen, förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården, och förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen.
Som nämnts i avsnitt 4.1 samlas uppgifter i hälsodataregister in utan den enskildes samtycke genom att myndigheter åläggs en skyldighet att lämna uppgifter. Som exempel kan förordningen om patientregister nämnas. Enligt den förordningen ska den som bedriver verksamhet inom hälso- och sjukvården lämna uppgifter om sådana patienter som vårdats inom den slutna hälso- och sjukvården eller behandlats av läkare inom den öppna vården som inte är primärvård, dvs. patienter som har lagts in på sjukhus eller som har fått specialistvård. De uppgifter som ska lämnas och registreras avseende dessa patienter är personnummer, kön, födelseår, bosättningsort, vårdenhet, diagnoser, åtgärder, yttre orsaker till sjukdom eller skada, vårdkostnader, grund för psykiatrisk tvångsvård, tidpunkter för åtgärder och händelser, in- och utskrivningssätt och planerad vård. Vidare ska Statistiska centralbyrån (SCB) lämna uppgifter om folkbokföringsort, fastighetskoordinater, födelsehemort eller födelseort, medborgarskap, civilstånd, inflyttning från och utflyttning till utlandet, personnummerförändringar och dödsdatum. Personuppgifter, bosättningsort och sådana uppgifter som lämnas av SCB får dock inte behandlas om det är fråga om vårdkontakter som rör aborter (4-6 §§).
4.2.3 Kvalitetsregister
Nationella och regionala kvalitetsregister regleras i 7 kap. patientdatalagen (2008:355). Dessa register ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Bestämmelserna gäller för sådana nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare (1 §). Som nämnts i avsnitt 4.1 har den enskilde möjlighet att motsätta sig att uppgifter om honom eller henne behandlas i registret. Om så sker ska uppgifterna om den enskilde utplånas ur registret så snart som möjligt (2 §).
I 4 § regleras det primära ändamålet för behandlingen av personuppgifter. Detta ändamål är att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
De sekundära ändamålen för behandlingen regleras i 5 §. Dessa ändamål är 1. framställning av statistik, 2. forskning inom hälso- och sjukvården och 3. utlämnande till dem som ska använda uppgifterna för de ändamål som avses i 4 § och 5 § 1 och 2. Uppgifter får vidare enligt 5 § 4 lämnas ut för fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400, OSL). Enligt nämnda bestämmelse i OSL är en myndighet skyldig att på begäran av en annan myndighet lämna de uppgifter som myndigheten förfogar över, om det inte finns hinder på grund av sekretess eller arbetets behöriga gång. Denna bestämmelse, som brukar anses utgöra en precisering av den allmänna samverkansskyldigheten mellan myndigheter som gäller enligt 6 § förvaltningslagen (1986:223), är alltså inte tillämplig på uppgifter i nationella eller regionala kvalitetsregister.
Enligt 7 kap. 6 § patientdatalagen får personuppgifter inte behandlas för några andra ändamål än de som anges i samma kapitel 4 och 5 §§. Bestämmelsen innebär att finalitetsprincipen i 9 § d personuppgiftslagen inte är tillämplig på uppgifter i registret. Personuppgifter får således inte behandlas för något annat ändamål än som anges i 4 och 5 §§ även om det nya ändamålet inte skulle vara oförenligt med det primära ändamålet i 4 §.
4.2.4 Biobankslagen
I lagen (2002:297) om biobanker i hälso- och sjukvården m.m., ofta kallad biobankslagen, regleras hur humanbiologiskt material får samlas in, förvaras och användas för vissa ändamål.
Med biobank avses biologiskt material från en eller flera människor som samlas och bevaras tills vidare eller för en bestämd tid och vars ursprung kan härledas till den eller de människor, dvs. levande eller avlidna personer eller foster, från vilka materialet härrör (1 kap. 2 §).
Lagen är tillämplig på en biobank som inrättats i Sverige i en vårdgivares hälso- och sjukvårdsverksamhet, oavsett var materialet i biobanken förvaras. Lagen är också tillämplig på vävnadsprover som lämnats ut från sådana biobanker för att förvaras och användas hos en annan vårdgivare, en enhet för forskning eller diagnostik, en offentlig forskningsinstitution, ett läkemedelsbolag eller en annan juridisk person under förutsättning att vävnadsprovet även efter utlämnandet kan härledas till den eller de människor från vilka de härrör. Lagen ska i tillämpliga delar gälla för vävnadsprover som tas och samlas in för transplantationsändamål enligt lagen (1995:831) om transplantation m.m. Lagen är dock inte tillämplig på prover som rutinmässigt tas i vården för analys och som uteslutande är avsedda som underlag för diagnos och löpande vård och behandling av provgivaren och som inte sparas en längre tid (1 kap. 3 §).
Förutom för vård och behandling och andra medicinska ändamål i en vårdgivares verksamhet får en biobank användas endast för ändamål som avser kvalitetssäkring, utbildning, forskning, klinisk prövning, utvecklingsarbete eller annan därmed jämförlig verksamhet (2 kap. 2 §). Om avsikten är att en biobank ska användas för ändamål som avser forskning eller klinisk prövning får beslut att inrätta biobanken fattas först efter prövning och godkännande av en nämnd för forskningsetik (2 kap. 3 §).
I biobankslagen finns det bestämmelser om information och samtycke till insamling, bevarande och användning av vävnadsprover (3 kap.). Om vävnadsprover lämnas ut ska de, om annat inte särskilt beslutas, vara avidentifierade eller kodade (4 kap. 4 §).
I biobankslagen finns även bestämmelser om en särskild biobank (PKU-biobanken) med prover från nyfödda barn (5 kap. 1-3 §§) samt om ett särskilt register för screening av prover från nyfödda barn för vissa ämnesomsättningsrubbningar (PKU-registret, 5 kap. 4-7 §§). Om ett barns vårdnadshavare har lämnat ett informerat samtycke till att vävnadsprov tas på barnet för att lämnas till biobanken respektive att uppgifter om modern och barnet lämnas till registret är vårdgivaren skyldig att lämna provet respektive uppgifterna för analys och förvaring i biobanken respektive för registrering i registret. Vävnadsproverna i PKU-biobanken och uppgifterna i PKU-registret får bl.a. användas för klinisk forskning och utveckling (5 kap. 2 och 5 §§).
4.2.5 Lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering
Lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) innehåller bestämmelser om personuppgiftsbehandling i verksamhet vid institutet.
Behandlingen av personuppgifter som är tillåten enligt lagen får utföras även om den registrerade motsätter sig behandlingen. Detta gäller dock inte om uppgifterna samlas in direkt från den enskilde. I sådana fall får uppgifterna endast behandlas om den enskilde lämnat sitt uttryckliga samtycke (2 §).
Personuppgifter får enligt lagen behandlas om det behövs för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar (5 §). Personuppgifter får även behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. I övrigt gäller den s.k. finalitetsprincipen enligt 9 § första stycket d och andra stycket personuppgiftslagen (6 §).
IFAU får behandla känsliga personuppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa för sådana ändamål som anges i 5 §. Det erinras i lagen om att det följer av lagen (2003:460) om etikprövning av forskning som avser människor att forskning som innefattar behandling av bl.a. känsliga uppgifter måste etikprövas (7 §).
Det får hos IFAU finnas samlingar av personuppgifter under förutsättning att de inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet där uppgifterna kommer från kan hänföras till ett personnummer eller motsvarande identitetsbeteckning (8 §).
IFAU får även i sin verksamhet, genom att samla in uppgifter direkt från enskilda, inrätta samlingar av personuppgifter som är direkt hänförliga till den enskilde för vissa avgränsade studier, uppföljningar eller utvärderingar. Sådana personuppgifter får även sambearbetas för att upprepa eller följa upp en tidigare genomförd studie, uppföljning eller utvärdering (2, 9 och 11 §§).
I förarbetena till lagen anförde regeringen att en översyn av systemet för officiell statistik pågår i syfte att skapa ett system som är bättre anpassat för registerbaserad forskning. När denna översyn är slutförd kan det enligt regeringen finnas anledning att ompröva IFAU:s behov av att bygga upp egna samlingar av personuppgifter. Det kan även finnas skäl att ompröva behovet av en särskild registerlag för IFAU och att utvärdera hur den nya lagen har fungerat i både forsknings- och integritetsskyddshänseende. Regeringen gjorde därför bedömningen att lagen borde tidsbegränsas (prop. 2011/12:176 s. 60 f.). Lagen gäller till och med den 31 december 2015.
4.2.6 Etikprövningslagen
Lagen (2003:460) om etikprövning av forskning som avser människor, ofta kallad etikprövningslagen, innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från människor. Den innehåller också bestämmelser om samtycke till sådan forskning. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1 §).
Lagen är tillämplig på forskning som ska utföras i Sverige bl.a. om forskningen innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen, t.ex. uppgifter som rör hälsa, eller om forskningen innebär ett fysiskt ingrepp på en forskningsperson eller avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa (3-5 §§). Vid tillämpning av lagen avses med forskning vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå (2 §). Forskning som omfattas av lagen får utföras bara om den har godkänts vid en etikprövning. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av personuppgifter enligt 13 och 21 §§ personuppgiftslagen bara om behandlingen av uppgiften har godkänts vid etikprövningen (6 §). För etikprövningen finns det regionala nämnder och en central nämnd.
4.3 Särskilt om projektet LifeGene
Karolinska institutet i samarbete med universiteten i Göteborg, Linköping, Lund, Umeå och Uppsala driver ett projekt som syftar till att skapa underlag för att kunna studera hur våra gener, vår omgivning och vårt sätt att leva påverkar vår hälsa. Detta projekt, LifeGene, är på sikt tänkt att omfatta upp emot en halv miljon svenskar. Projektet syftar till att skapa underlag för att kunna kartlägga orsaker bakom våra vanligaste folksjukdomar såsom allergier, depression, infektioner, hjärt- och kärlsjukdomar och cancer. Målet är att skapa nya verktyg för att förebygga, diagnostisera och behandla dessa sjukdomar.
I projektet LifeGene samlas uppgifter från ett stort antal individer från tidiga barnaår och upp i vuxen ålder. De sjukdomar som kommer att studeras i materialet är främst de stora folksjukdomarna, t.ex. allergier, depression, infektioner, hjärt- och kärlsjukdomar och cancer. Materialet utgör dessutom en resurs för att i framtiden besvara frågor som vi inte fullt ut kan formulera i dag, bl.a. frågor om uppkomst av tidigare okända sjukdomar eller orsakssamband.
Deltagare lämnar sitt samtycke till att personuppgifter behandlas inom ramen för projektet LifeGene vid Karolinska institutet i enlighet med den information om personuppgiftsbehandlingen som de har tagit del av och till att blod- och urinprov lagras i en biobank. Deltagare tillfrågas också om de samtycker till att uppgifter från deltagarnas medicinska journaler och data från nationella hälsodataregister såsom medicinska födelseregistret, tandvårdsregistret och cancerregistret förs in i projektet LifeGene. Deltagarna får en informationsbroschyr som de förväntas ha läst igenom före första besöket på LifeGenes testcenter. Vid deltagarnas första besök på testcentret får deltagarna signera ett samtycke om deltagande i LifeGene. Alla personuppgifter som hanteras inom ramen för LifeGene behandlas således med deltagarnas uttryckliga samtycke.
När en forskare inom ramen för ett forskningsprojekt vill använda material i LifeGenes register och biobank ansöker forskaren först till LifeGene om att få tillgång till materialet. Om LifeGene beviljar denna ansökan, ansöker forskaren därefter till en etikprövningsnämnd om etikprövning av den planerade forskningen. Först efter godkännande av en etikprövningsnämnd kan forskaren få ut relevanta personuppgifter ur LifeGenes register och biologiskt material ur biobanken.
När det gäller behandling av personuppgifter inom LifeGene har Karolinska institutet i den informationsbroschyr som alla deltagare får ta del av framhållit följande. Personuppgifter i registret behandlas med tydliga säkerhetsrutiner för att bevara deltagarnas anonymitet. Alla direkt identifierande personuppgifter (som t.ex. namn, adress och personnummer) hålls åtskilda från andra uppgifter i registret (som t.ex. enkätsvar och analyser av blodprov). Blod- och urinprover förses med löpnummer och går därmed inte att koppla till de direkt identifierande personuppgifterna för den enskilda forskaren. De forskningsprojekt som kommer att använda registerdata från LifeGene får endast tillgång till uppgifter och prover som är försedda med löpnummer. Resultat från forskningsstudier presenteras endast som statistik där uppgifter om enskilda personer inte går att spåra. Enskilda deltagare har rätt att få veta vilka uppgifter om honom eller henne som finns registrerade, varifrån uppgifterna har hämtats in och till vilka kategorier av mottagare som uppgifter har lämnats ut. Felaktiga uppgifter rättas och deltagare har rätt att när som helst avsäga sig fortsatt deltagande i LifeGene och begära att insamlade uppgifter och prover avidentifieras så att de inte längre kan spåras till enskilda individer.
Projektets biobank har inrättats av universitet och inte i någon vårdgivares hälso- och sjukvårdsverksamhet. Därför är inte lagen om biobanker i hälso- och sjukvården m.m. tillämplig på verksamheten. Biobanksutredningen har i betänkandet En ny biobankslag (SOU 2010:81) föreslagit en ny biobankslag som ska vara tillämplig också på biobanker i Sverige för identifierbara vävnadsprover i bl.a. forskning. Förslaget bereds för närvarande i Regeringskansliet.
Centrala etikprövningsnämnden har den 4 mars 2011 undanröjt en regional etikprövningsnämnds beslut att godkänna projektet LifeGene (dnr Ö 28-2010). Centrala etikprövningsnämndens beslut motiverades med att projektet inte i sig innefattar någon forskning utan syftar till att bygga upp en infrastruktur för eventuell framtida forskning som inte för närvarande är preciserad. Ett sådant projekt kan, enligt nämnden, inte prövas enligt lagen om etikprövning av forskning som avser människor.
Med anledning av en numera upphävd reglering i personuppgiftsförordningen (1998:1191) om förhandskontroll av automatiserade behandlingar av personuppgifter om genetiska anlag som har framkommit efter genetisk undersökning, beslutade Datainspektionen att inspektera behandlingen av personuppgifter i projektet LifeGene i juni 2011. Inspektionen resulterade i ett beslut i december 2011 att förelägga Karolinska institutet att upphöra med insamlingen och övrig behandling av personuppgifter inom projektet LifeGene (dnr 766-2011). I beslutet anför Datainspektionen följande.
Enligt 9 § PuL [personuppgiftslagen] får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen måste enligt förarbetena till PuL uppges redan när behandlingen påbörjas och får inte vara för allmänt hållna (se prop. 1997/98:44 s. 44 f.). Exakt hur detaljerade ändamålen måste vara framgår inte av PuL. Det får i avsaknad av närmare föreskrifter avgöras från fall till fall. Enligt Datainspektionen måste det krävas att personuppgifter som behandlas ska vara adekvata och relevanta i förhållandet till ändamålet med behandlingen och att inte fler uppgifter behandlas än som är nödvändigt med hänsyn till ändamålen. För att denna bedömning ska kunna göras krävs att ändamålet har en viss grad av precision. I aktuellt ärende är ändamålet framtida forskning där alla insamlade personuppgifter ska kunna användas för än så länge odefinierade ändamål. Framtida forskning är ett allt för opreciserat ändamål för att uppfylla kraven i 9 § PuL.
Frågan är också om ett samtycke till ett opreciserat ändamål är förenligt med 10 och 15 §§ PuL. När det gäller behandling av s.k. känsliga personuppgifter ställs stora krav på den information som ska föregå samtycket. Bl.a. måste ändamålet med behandlingen vara tillräckligt preciserat i den information som lämnas. Det kravet kan inte anses uppfyllt i aktuellt ärende (jfr ovan). Således kan inte heller ett giltigt samtycke lämnas enligt 10 och 15 § PuL.
Register som omfattar stora delar av befolkningen har sedan lång tid tillbaka reglerats i särskilda författningar (registerförfattningar) vid sidan av såväl den tidigare datalagen som PuL, eftersom det på grund av registrens omfattning och/eller känsliga innehåll ansetts rimligt att riksdagen eller regeringen fått ta ställning till såväl inrättandet av registren som omfattningen. Utgångspunkten har således varit att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag (se prop. 1990/91:60 s. 50 och KU 1990/91:11 s. 11 samt prop. 1997/98:44 s. 41, 1999/2000:39 s. 78 och 2009/10:80 s. 183 f.). Central förvaltningsmyndighet inom hälso- och sjukvården får, enligt lagen (1998:543) om hälsodataregister, utföra automatiserad behandling av personuppgifter i hälsodataregister. Personuppgifter i hälsodataregistren får användas för bl.a. forskning och epidemiologiska undersökningar. Regeringen beslutar, genom förordning, vilka hälsodataregister som ska finnas. Utmärkande för registren är att de är rikstäckande. Enligt Datainspektionens mening ska inte rikstäckande databaser för forskningsändamål byggas upp vid sidan av hälsodataregistren. I vart fall bör det inte ske utan att riksdagen eller regeringen tagit ställning i frågan.
Datainspektionen anser således att frågeställningen i ärendet och hanteringen av känsliga personuppgifter i databaser för framtida forskning är av så stor betydelse att den i så fall bör bli föremål för politisk beredning.
Sammanfattningsvis utgör, enligt Datainspektionen, PuLs krav samt avsaknaden av särreglering hinder för att inom projektet LifeGene skapa en databas av detta slag. Behandlingen av personuppgifter måste därför upphöra.
Karolinska institutet har överklagat Datainspektionens beslut.
I den uppkomna situationen för projektet LifeGene har finansiärer valt att avvakta med fortsatt finansiering av projektet. Detta har i sin tur lett till att Karolinska institutet har gjort ett uppehåll i projektet i avvaktan på ett förtydligande av rättsläget.
4.4 Pågående utredningsarbete
I propositionen Ett lyft för forskning och innovation (prop. 2008/09:50) framhålls att registerhållningen över hela befolkningen och systemet med personnummer ger unika förutsättningar för att studera angelägna, tvärvetenskapliga frågor kring sambandet mellan samhällsförhållanden, ekonomi och hälsa. Vidare konstateras att Sverige har mycket goda förutsättningar för ledande forskning genom dessa registerbaserade data, men att det i dag finns en begränsad samordning av infrastruktur och databaser och att dessa i dagsläget är underutnyttjade.
Statistikutredningen 2012 (dir. 2011:32 och 2012:15, Fi 2011:05) har i sitt betänkande Registerdata för forskning (SOU 2012:36) lämnat vissa förslag om organisatoriska och tekniska åtgärder som kan underlätta registerbaserad forskning. Betänkandet bereds för närvarande i Regeringskansliet.
I propositionen Forskning och innovation (prop. 2012/13:30) har regeringen anfört att Vetenskapsrådet bör få i uppdrag att inrätta en funktion med uppgift att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forskningsändamål.
Regeringen har vidare gett en särskild utredare i uppdrag att utreda förutsättningarna för registerbaserad forskning (dir. 2013:8). Utredningen har antagit namnet Registerforskningsutredningen (U 2013:01). Utredaren ska enligt direktiven lämna förslag i syfte att registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till den enskildes integritet, att sambearbetning av registeruppgifter för forskningsändamål ska underlättas samt att det ska vara möjligt att på ett integritetssäkert sätt samla in personuppgifter till register som förs för särskilda och uttryckligt angivna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål. Utredaren ska dessutom undersöka om det befintliga sekretesskyddet för uppgifter som hanteras inom forskning är tillräckligt för att skydda den enskildes integritet vid forskning.
5 En ny lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa
5.1 Lagens syfte och tillämpningsområde
Regeringens förslag: En ny lag ska införas. Syftet med lagen ska vara dels att ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, dels att skydda den enskildes personliga integritet i den verksamheten.
Lagen ska bara gälla behandling av personuppgifter som sker i ovan nämnt forskningssyfte och som sker med den enskildes uttryckliga samtycke. Lagen ska vidare bara gälla om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Lagen ska vara tidsbegränsad och gälla till och med den 31 december 2015.
Regeringens bedömning: Regeringen bör meddela föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt lagen och vilka register som dessa får föra.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. Promemorians förslag till lagtext innehåller en exemplifiering av vad som avses med miljö. Promemorian innehåller inte något förslag om att lagen enbart ska gälla sådan behandling som är helt eller delvis automatiserad.
Remissinstanserna: En majoritet av remissinstanserna bl.a. Kammarrätten i Stockholm, Förvaltningsrätten i Stockholm, Socialstyrelsen, Läkemedelsverket, Statskontoret, Universitetskanslersämbetet, Karolinska institutet, Kungl. Tekniska högskolan, Stockholms läns landsting, Landstinget i Uppsala län, Landstinget i Östergötland, Sveriges Kommuner och Landsting, Cancerfonden, Statens medicinsk-etiska råd, Vårdalstiftelsen och Svenska Journalistförbundet tillstyrker eller har inget att invända mot förslaget.
Linköpings universitet anser att det aktuella lagförslaget ger goda förutsättningar för uppbyggnad av viktiga forskningsunderlag på ett sätt som upprätthåller den enskilda provgivarens intressen. Vetenskapsrådet bedömer att projektet LifeGene är av stort värde för svensk grundforskning, och rådet är därför positivt till en tidsbegränsad lag som ger LifeGene en möjlighet att fortsätta verksamheten i väntan på en mer långsiktig lösning.
Lunds universitet tillstyrker förslaget, men påtalar att det innebär att en delfråga vad gäller upprättande av forskningsdatabaser löses tillfälligt. Universitetet påpekar att en särlösning kan innebära att vissa frågor låses och att det kan bli svårt att frångå lösningen samt att det kan vara så att skyddet går så långt att detta motverkar representativitet och andra forskningsinriktade mål.
Smittskyddsinstitutet anser att med hänsyn till att det är viktigt att den befolkningsbaserade forskningen kan utvecklas i Sverige och att föreslagna bestämmelser är tidsbegränsade i avvaktan på utfallet av en mer allsidig genomlysning av villkoren för registerbaserad forskning, kan lagförslagen tillstyrkas. Även Statens folkhälsoinstitut har med hänsyn till att det är fråga om en tidsbegränsad reglering inget att invända mot förslaget.
Stockholms universitet finner att den principiella ansatsen i lagförslaget är sund och kommer att ge goda förutsättningar för framtida forskning rörande angelägna samhällsproblem, men att förslaget på ett olyckligt sätt begränsar inriktningen av de databaser som kan inrättas inom ramen för den föreslagna lagstiftningen och att det är angeläget att lagen ger utrymme även för inrättandet av databaser för samhällsvetenskaplig och samhällsmedicinsk forskning. Även Forskningsrådet för Arbetsliv och Socialvetenskap finner att förslaget uttrycker en god ambition men är alltför begränsat i sin räckvidd, och att den rättsliga osäkerhet som nu finns beträffande betingelserna för att för forskningssyfte skapa befolkningsbaserade databaser behöver undanröjas för alla typer av register och databaser där Sverige har unika möjligheter att bedriva världsledande forskning. Forskningsrådet anser att ambitionen i en kommande lag bör vara att reglera betingelserna för all forskning som nyttjar populationsbaserade register och omfattande databaser, inte minst longitudinella sådana, oavsett vetenskaplig frågeställning, och kan därför inte tillstyrka förslaget i dess nuvarande form.
Statens medicinsk-etiska råd anser att svåra etiska frågor kring stora befolkningsbaserade register inte kan detaljregleras i lag eller förordning och att utredningen om förutsättningar för registerbaserad forskning bör få i uppgift att se över denna aspekt. Statens medicinsk-etiska råd och Stockholms universitet har lyft fram möjligheten att vidga etikprövningslagen så att den också omfattar uppbyggnaden av registren och då pröva om databasen uppfyller de krav som lagen ställer.
Datainspektionen anser att de frågor som lagen avser att reglera är förtjänta av en grundligare utredning än den som presenteras i promemorian med utkast till lagrådsremiss och avstyrker bl.a. med hänsyn härtill förslaget. Justitiekanslern kan inte tillstyrka att det nu framlagda lagförslaget genomförs innan den generella översynen av förutsättningarna för registerbaserad forskning och sekretesskyddet för uppgifter som hanteras inom forskning har genomförts.
Skåne läns landsting anser bl.a. att det inte är acceptabelt att hälso- och sjukvården undantas från lagens tillämpningsområde och avstyrker förslaget.
Lunds universitet anser att det är tveksamt om föreskriftsformen är den lämpligaste formen för att medge inrättande av databaser och föreslår att regeringen får rätten att besluta vilka universitet som ska få rätt att upprätta databaser. Linköpings universitet föreslår att regeringen bör förtydliga rutiner och kriterier för en prövning av om ett universitet/högskola ska få inrätta databaser.
När det gäller det utkast till lagrådsremiss som vissa remissinstanser under den fortsatt beredningen har beretts tillfälle att yttra sig över (se avsnitt 3), och som i sak överensstämmer med regeringens förslag, har Datainspektionen framfört att myndigheten fortfarande ifrågasätter lagförslagets förenlighet med dataskyddsdirektivet när det gäller de föreslagna ändamålen för personuppgiftsbehandlingen. Datainspektionen avstyrker bl.a. med hänsyn härtill förslaget. Övriga myndigheter och organ som har beretts tillfälle att yttra sig över utkastet har inte haft några invändningar mot förslaget.
Skälen för regeringens förslag
Behovet av en särskild lag
Datainspektionens beslut från november 2011 avseende projektet LifeGene (se avsnitt 4.2) visar att det för närvarande finns en rättslig osäkerhet om förutsättningarna för att inom ramen för befintlig lagstiftning bygga upp den typen av databaser på frivillig grund. Det bör därför snarast skapas en reglering som kan underlätta uppbyggnad av underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt.
I 2 kap. regeringsformen finns bestämmelser som ger ett grundläggande skydd för den personliga integriteten. Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket). Detta integritetsskydd får begränsas genom lag (2 kap. 20 §). Eftersom regeringsformen inte uppställer något krav på lagform när det är fråga om behandling av personuppgifter som sker med samtycke är det möjligt att reglera sådan behandling i förordning. I vissa fall kan det dock vara lämpligt att regleringen sker i lag trots att behandlingen sker med den enskildes samtycke. I den typ av register som är aktuella i detta lagstiftningsärende kommer personuppgifter som avser ett stort antal människor att behandlas under lång tid. Det rör sig i stor utsträckning om särskilt känsliga personuppgifter såsom uppgifter om sjukdomar och hälsotillstånd. Även behandling av personuppgifter som avser genetiska undersökningsresultat ska kunna vara möjlig (se avsnitt 5.5). Regeringen anser mot denna bakgrund att det i detta fall finns övervägande skäl att välja reglering i lag (jfr prop. 1990/91:60 s. 58 och bet. KU 1990/91:11 s. 11).
Datainspektionen har framfört att de frågor som lagen avser att reglera är förtjänta av en grundligare utredning än den som har gjorts i promemorian med utkast till lagrådsremiss och Justitiekanslern anser att regeringen bör avvakta den pågående utredningen avseende förutsättningarna för registerbaserad forskning. Den utredningen ska dock inte redovisa sitt arbete förrän den 30 juni 2014. Regeringen anser att den nu föreslagna lagen är angelägen då den avser att reglera ett specifikt område där det finns en rättslig osäkerhet och då det är fråga om en personuppgiftsbehandling som skapar bättre förutsättningar för svensk registerbaserad forskning inom detta område. Regeringen anser därför att det på motsvarande sätt som har skett när det gäller den personuppgiftsbehandling som utförs av Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, finns skäl att införa en tidsbegränsad lag i avvaktan på det mer generella utredningsarbete som utförs angående förutsättningar för registerbaserad forskning (jfr lagen [2012:741] om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som gäller till och med den 31 december 2015). Regeringen anser att det, när den pågående mer generella översynen om förutsättningar för registerbaserad forskning är slutförd, kan finnas anledning att ompröva behovet av en särskild registerlag för vissa register för forskning om vad arv och miljö betyder för människors hälsa och att utvärdera hur den nya lagen har fungerat i både forsknings- och integritetsskyddshänseende. Genom att föreslå en tidsbegränsad lag åtar sig regeringen att efter en viss tid utvärdera lagen och ta ställning till om den ska permanentas, ändras eller ersättas av annan reglering. Som regeringen återkommer till i avsnitt 7 föreslås det att lagen ska gälla till och med den 31 december 2015.
Datainspektionen och Justitiekanslern har ifrågasatt om de föreslagna ändamålen för behandling av personuppgifter är förenliga med dataskyddsdirektivet. Dataskyddsdirektivets krav på att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål gäller oavsett om uppgifter samlas in med författningsstöd eller med samtycke. Som framgår av avsnitt 4.2.2 har riksdag och regering hittills gjort bedömningen att "forskning" är ett tillräckligt preciserat ändamål enligt dataskyddsdirektivet, se bl.a. 3 § lagen om hälsodataregister (1998:534) och prop. 1997/98:108 s. 48, 3 § förordningen (2001:707) om patientregister hos Socialstyrelsen, 3 § förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården och 3 § förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen enligt vilka bestämmelser uppgifter i registren får behandlas för bl.a. "forskning". Ett annat exempel är att uppgifter i PKU-registret enligt lagen om biobanker (2002:297) får användas för bl.a. klinisk forskning och utveckling (5 kap. 5 §). I vissa situationer har ändamålet preciserats ytterligare. Ett sådant exempel är förordningen (2001:709) om cancerregister hos Socialstyrelsen. Enligt den förordningen får personuppgifter i registret behandlas för framställning av statistik, uppföljning och utvärdering av insatser för att förebygga cancersjuklighet, utvärdering av hälsokontroller samt forskning och epidemiologiska undersökningar inom cancerområdet.
Datainspektionen har i sitt yttrande över ett utkast till lagrådsremiss hänvisat till ett nyligen gjort uttalande av den s.k. Artikel 29-gruppen, i vilket bl.a. sägs att vaga eller allmänna ändamål av typen framtida forskning normalt sett inte - utan ytterligare information - kan anses uppfylla kraven för specificering av ett ändamål samt att den detaljeringsgrad som krävs beror på kontexten. Ibland räcker det med "enkelt språk" (simple language) och i andra fall kan mer detaljer krävas (Yttrande 03/2013 om ändamålsbegränsing, s. 16). Artikel 29-gruppen är ett rådgivande organ som huvudsakligen består av representanter från medlemsstaternas tillsynsmyndigheter. Gruppens yttranden är inte rättsligt bindande. Det finns vidare inte något relevant prejudikat från EU-domstolen som klargör innebörden av dataskyddsdirektivets krav på att ändamålen för behandlingen ska vara särskilda, uttryckligt angivna och berättigade.
Regeringen konstaterar att riksdag och regering i vissa författningsärenden har ansett att "forskning" är ett tillräckligt specificerat ändamål samt att ändamålet i andra fall har preciserats ytterligare. I nu aktuellt fall föreslås, vilket regeringen återkommer till i avsnitt 5.4, att de primära ändamålen för behandlingen av personuppgifter enligt lagen ska vara att skapa underlag för och lämna ut uppgifter till en viss närmare angiven typ av forskning, nämligen forskning om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Regeringen anser att dessa ändamål är tillräckligt specificerade för att uppfylla dataskyddsdirektivets krav.
Datainspektionen anför att det rör sig om ett mycket större antal uppgifter än vad som registreras i hälsodataregistren samt att hälsodataregister endast innehåller i förväg preciserade uppgifter. Som nämnts tidigare samlas de uppgifter som registreras i hälsodataregistren inte in med samtycke av den enskilde utan lämnas till registren av myndigheter med stöd av en författningsreglerad uppgiftsskyldighet. Med anledning härav måste det regleras i hälsodataregisterförfattningarna vilka uppgifter som ska registreras i registret. När uppgifter samlas in med stöd av den enskildes samtycke finns det dock inte samma behov av att reglera vilka uppgifter som ska registreras eftersom den enskilde själv förfogar över frågan och genom sitt samtycke avgränsar vilka uppgifter som ska finnas i registret (se vidare avsnitt 5.5 och 5.7).
Datainspektionen anför vidare att förslaget innebär en genomgripande nyordning på forskningsområdet, eftersom det innebär att datainsamling för forskningsändamål i många fall inte längre kommer att behöva etikprövas. Etikprövningen kommer i stället att göras först när uppgifterna ska börja användas i ett visst forskningsprojekt. Regeringen konstaterar dock att det i andra registerförfattningar, t.ex. lagen om hälsodataregister, hälsodataregisterförordningarna och lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, ges stöd för uppbyggande av särskilda register för framtida forskningsändamål. Uppgifter i PKU-registret, som enligt lagen om biobanker (2002:297) samlas in efter samtycke av barnets vårdnadshavare, får enligt samma lag användas för bl.a. klinisk forskning. Först när uppgifter från ovan nämnda register ska användas i konkreta forskningsprojekt görs en etikprövning. Regeringen delar därför inte Datainspektionens uppfattning att den föreslagna lagen innebär en genomgripande nyordning.
Stockholms universitet anser att det är angeläget att lagen ger utrymme även för inrättandet av databaser för samhällsvetenskaplig och samhällsmedicinsk forskning. Forskningsrådet för Arbetsliv och Socialvetenskap anser att förslaget är alltför begränsat i sin räckvidd och att ambitionen i en kommande lag bör vara att reglera betingelserna för all forskning som nyttjar populationsbaserade register och omfattande databaser, inte minst longitudinella sådana, oavsett vetenskaplig frågeställning.
Som framgår av vad regeringen har anfört ovan har regering och riksdag gjort bedömningen i ett flertal författningsärenden att forskning är ett tillräckligt preciserat ändamål enligt dataskyddsdirektivet. Det finns dock även registerförfattningar som avser register med uppgifter som samlas in för mer begränsade ändamål, t.ex. cancerregistret. Uppgifter i det registret får bl.a. användas för forskning inom cancerområdet. Att regeringen nu väljer att föreslå en lag med ett ändamål som är begränsat till en viss typ av forskning ska således inte tas till intäkt för att register som byggs upp för andra forskningsändamål än som anges i den föreslagna lagen inte skulle vara tillåtna. Med hänsyn till att det är fråga om en tillfällig lag som införs i avvaktan på ett pågående utredningsarbete (se avsnitt 4.4) anser regeringen att det finns skäl att avgränsa lagens tillämpningsområde på ett tydligt sätt.
Vad ska lagen omfatta?
Regeringens förslag syftar till att i avvaktan på Registerforskningsutredningens förslag ge ett tydligt lagstöd för register som förs med enskildas samtycke i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Känsliga personuppgifter i sådana register bör samlas in med uttryckligt samtycke från de registrerade och enbart uppgifter som inte är direkt hänförliga till den enskilde bör få lämnas ut i till konkreta forskningsprojekt som har godkänts vid en etikprövning. Det är viktigt att registerföringen även i övrigt omgärdas av tydliga regler som tryggar skyddet för individernas personliga integritet. På det sättet skapas förtroende och legitimitet för verksamheten.
Detta innebär att lagen inte ska omfatta register som innehåller uppgifter som samlats in utan uttryckligt samtycke av den enskilde, t.ex. hälsodataregister eller nationella eller regionala kvalitetsregister. Lagen ska inte heller omfatta register som förs inom ramen för ett forskningsprojekt som har godkänts enligt etikprövningslagen. Vidare ska lagen inte omfatta sådana register som förs med stöd av personuppgiftslagen eller annan reglering och som innehåller personuppgifter som inhämtats efter samtycke av den enskilde för något annat forskningsändamål än vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt.
Vilka ska få föra register som avses i lagen?
Regeringen anser att den föreslagna lagen bara bör reglera verksamheten hos statliga universitet och högskolor. Denna begränsning motiveras bl.a. av att det är fråga om en tillfällig lag och att de register som den rättsliga osäkerheten rör förs vid statliga universitet.
Datainspektionen anser att det finns anledning att ifrågasätta lämpligheten i att just universitet och högskolor ska få föra egna register för befolkningsbaserad forskning. Enligt inspektionen innebär förslaget att man överger den grundläggande princip som hittills har gällt för hur samhället har tillåtit insamling av känsliga uppgifter för att tillgodose behovet av underlag för bl.a. statistik och forskning. Enligt inspektionen finns det en risk för att integritetsfrågorna inte kommer att tas på tillräckligt allvar när den ansvarige för personuppgiftsbehandlingen i registret även är den som har direkt nytta av personuppgiftsbehandlingen, i form av t.ex. forskningsresultat och anslagsmedel. Regeringen konstaterar att de flesta registerförfattningar reglerar register som förs av myndigheter som själva har direkt nytta av personuppgiftsbehandlingen. Som exempel kan nämnas kvalitetsregistren inom hälso- och sjukvården som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Uppgifter i sådana register får enligt 7 kap. 5 § patientdatalagen också behandlas för forskning inom hälso- och sjukvården. Ett annat exempel är hälsodataregistren. I förarbetena till lagen om hälsodataregister slår regeringen fast att samtliga hälsodataregister används i olika utsträckning för forskningsuppgifter, både hos de myndigheter som för sådana register och av forskarvärlden i övrigt (prop. 1997/98:108 s. 42). Regeringen anser mot denna bakgrund att det inte är problematiskt att det universitet eller den högskola som för ett register i syfte att skapa underlag för forskning också tillåts använda uppgifterna i egna forskningsprojekt som har godkänts enligt etikprövningslagen.
Skåne läns landsting anser att det bör vara möjligt för sjukvårdshuvudmän att behandla personuppgifter i register enligt den föreslagna lagen. I remissyttranden över förslaget till en förordning om register för viss befolkningsbaserad forskning lyfte även bl.a. Landstinget i Östergötland och Västra Götalands läns landsting denna fråga. Mot bakgrund av att det är fråga om en tillfällig lag som avser att reglera ett specifikt område där det finns en rättslig osäkerhet i avvaktan på pågående utredning och med hänsyn till den reglering som finns avseende nationella och regionala kvalitetsregister i 7 kap. patientdatalagen och av biobanker i lagen om biobanker i hälso- och sjukvården m.m. anser regeringen att det finns skäl att vara restriktiv och bara låta den nya lagen omfatta register som förs av universitet och högskolor. Uppbyggnaden av databaser med underlag för konkreta forskningsprojekt som har godkänts vid en etikprövning får vidare anses vara en typisk arbetsuppgift för det allmänna. Det är därför inte heller lämpligt att låta regleringen omfatta privata aktörer.
För att ett universitet eller en högskola ska kunna klara kraven på verksamheten enligt den föreslagna lagen krävs det en viss grad av organisation, kunnande, säkerhet och resurser. I promemorian gjordes bedömningen att staten bör ta hänsyn till tillgången på etisk kompetens i samband med bedömningen av om ett universitet eller en högskola ska få behandla personuppgifter enligt den föreslagna lagen. Statens medicinsk-etiska råd och Stockholms universitet har lyft fram möjligheten att vidga etikprövningslagen så att den också omfattar uppbyggnaden av registren. Regeringen konstaterar att frågeställningen om det ska bli möjligt att etikpröva inte bara enskilda forskningsprojekt, utan även register som ska ligga till grund för olika etikprövade forskningsprojekt, ingår i Registerforskningsutredningens uppdrag. Regeringen anser inte att det finns skäl att föregripa den bedömning som utredningen kan komma att göra i detta avseende. Mot denna bakgrund anser regeringen att universitet och högskolor endast ska få behandla personuppgifter enligt den nya lagen i den utsträckning regeringen meddelar föreskrifter om det. Det bör således anges i lagen att regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt lagen och vilka register som dessa får föra.
Datainspektionen har i sitt yttrande under den fortsatta beredningen (se avsnitt 3) framfört att myndigheten saknar en diskussion om förslagets förenlighet med Helsingforsdeklarationens artikel 15, av vilken det framgår att studieprotokoll (som även omfattar insamlandet av personuppgifter) måste underställas en etisk kommitté som är oberoende i förhållande till forskaren. Helsingforsdeklarationen, som inte är rättsligt bindande, har i många avseenden påverkat nationell lagstiftning för forskning som avser människor. Deklarationen, som innehåller grundläggande etiska principer för medicinsk forskning som omfattar människor, antogs 1964 av World Medical Association, som är en internationell läkarorganisation. Helsingforsdeklarationen har därefter reviderats vid åtta tillfällen, senast i oktober 2008. Sedan 1975 (Tokyodeklarationen) finns ett krav på att alla förslag till biomedicinsk forskning på människor ska formuleras i ett protokoll, vilket ska granskas av en oberoende kommitté innan forskningen startar. Den första forskningsetiska kommittén i Sverige bildades 1966 och etikprövningen regleras numera i lagen (2003:460) om etikprövning av forskning som avser människor. Den lag som föreslås i denna proposition avser behandling av personuppgifter i syfte att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. För att uppgifter ur ett sådant register ska få lämnas ut till ett forskningsprojekt måste först såväl forskningsprojektet som den tilltänkta behandlingen av personuppgifter inom ramen för forskningsprojektet, inklusive insamlande av personuppgifter från olika register som förs av myndigheter, godkännas av en etikprövningsnämnd enligt etikprövningslagen. Regeringen anser därmed att lagförslaget inte står i strid med Helsingforsdeklarationens krav på oberoende etisk prövning av forskning som avser människor.
5.2 Förhållandet till personuppgiftslagen
Regeringens förslag: Personuppgiftslagen ska gälla vid behandling av personuppgifter, om inte annat följer av lagen.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: En majoritet av remissinstanserna har inget att invända mot förslaget.
Göteborgs universitet anser att den föreslagna ordningen är ändamålsenlig och att det är viktigt i detta sammanhang att påpeka att det även föreligger en skyldighet att beakta personuppgiftslagens regelverk avseende såväl fysisk säkerhet som informationssäkerhet.
Kammarrätten i Stockholm konstaterar att promemorian bemöter den synpunkt som kammarrätten tidigare framfört rörande förhållandet mellan den då föreslagna förordningen och personuppgiftslagen, och att kammarrätten inte har någon annan uppfattning i den frågan än vad som då anfördes.
Skälen för regeringens förslag: Enligt 2 § personuppgiftslagen ska, om det i en annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, de bestämmelserna gälla i stället för personuppgiftslagens bestämmelser. Särregleringar konstrueras i de flesta fall så att särregleringen endast kompletterar eller ersätter personuppgiftslagen i frågor som är specifika för de verksamheter som omfattas av särlagstiftningen. Detta innebär att myndigheten måste beakta såväl den särskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. Alternativet är en heltäckande reglering av all personuppgiftsbehandling i en viss verksamhet. Ofta kompletteras en sådan reglering med en uppräkning av vilka regler i personuppgiftslagen som trots allt ska tillämpas. Sistnämnda lagstiftningsteknik har bl.a. använts i lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet. Anledningen till detta anges i förarbetena är att man på det sättet uppnår en större tydlighet och överskådlighet för tillämparna. Lagrådet riktade dock i det lagstiftningsärendet kritik mot den valda lagstiftningstekniken som man ansåg otillfredsställande och riskfylld. Trots att regeringen i just detta fall valde att inte ändra lagstiftningsteknik (prop. 2000/01:33 s. 88), har regeringen i andra lagstiftningsärenden avvisat denna typ av lagkonstruktion med hänvisning till Lagrådets uttalanden (se exempelvis prop. 2002/03:135 s. 46 f.). I samband med införandet av exempelvis polisdatalagen (2010:301) godtogs dock åter denna lagstiftningsteknik.
Kammarrätten i Stockholm har i ett remissyttrande över förslaget till en förordning och i remissyttrandet över utkastet till lagrådsremiss ansett att det finns ett mycket stort värde i att inte lämna tillämparen utan vägledning i fråga om vilka bestämmelser i personuppgiftslagen som är tillämpliga. Kammarrätten förordar därför den lagstiftningsmodell som innebär att den föreslagna lagen ska tillämpas i stället för personuppgiftslagen och att de bestämmelser i personuppgiftslagen som ska tillämpas räknas upp i den särskilda registerförfattningen. Kammarrätten räknar också upp ett antal författningsförslag och lagar där denna lagstiftningsteknik har använts.
Av det ovan anförda framgår att det finns exempel på båda lagstiftningsmodellerna i gällande registerförfattningar. Regeringen anser dock att utgångspunkten i detta fall bör vara att den nya lagen endast bör ersätta eller komplettera personuppgiftslagen i frågor som är specifika för den reglerade verksamheten. De särregler som behövs i förhållande till personuppgiftslagens regler är nämligen i detta fall förhållandevis få. Att då räkna upp alla de regler i personuppgiftslagen som fortfarande ska tillämpas skulle leda till en otymplig och föga tilltalande dubbelreglering. Mot denna bakgrund anser regeringen att den nya lagen endast bör innehålla de särregler som behövs och att personuppgiftslagen i övriga avseenden ska vara direkt tillämplig för verksamheten. Det bör för tydlighets skull, såsom är brukligt vid användningen av denna lagstiftningsmodell, uttryckligen anges att personuppgiftslagen gäller vid behandling av personuppgifter, om inte annat följer av den föreslagna lagen. Det kan tilläggas att regeringen nyligen mot bakgrund av samma slags synpunkter från Kammarrätten i Stockholm gjort motsvarande bedömning i fråga om den särskilda registerförfattningen för behandlingen av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (prop. 2011/12:176 s. 25-26).
Att personuppgiftslagen gäller vid behandling av personuppgifter enligt den föreslagna lagen innebär bl.a. att tillsynsmyndigheten, för närvarande Datainspektionen enligt 2 § personuppgiftsförordningen (1998:1191), har de befogenheter som anges i personuppgiftslagen även i fråga om behandling av personuppgifter enligt den föreslagna lagen.
5.3 Personuppgiftsansvar
Regeringens förslag: De universitet eller högskolor som utför behandlingen av personuppgifter är personuppgiftsansvariga.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Ingen remissinstans har kommenterat förslaget.
Skälen för regeringens förslag: Med personuppgiftsansvarig avses enligt 3 § personuppgiftslagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Det bör i den föreslagna lagen, såsom är brukligt i särskilda registerförfattningar, uttryckligen anges vilken myndighet som är personuppgiftsansvarig, dvs. i nu aktuellt fall de universitet eller högskolor som utför behandlingen av personuppgifter.
5.4 Ändamålen med behandlingen av personuppgifter
Regeringens förslag: Personuppgifter får bara behandlas för att
- skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt,
- lämna ut uppgifter till sådan forskning under förutsättning dels att såväl forskningen som behandlingen av uppgifterna har godkänts enligt etikprövningslagen, dels att forskningen bedrivs vid en myndighet,
- lämna ut uppgifter till en utredning av oredlighet i sådan forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning,
- lämna ut uppgifter till den registrerade själv,
- lämna ut uppgifter om det finns en skyldighet enligt lag att göra det, och
- bevaras för historiska, statistiska eller vetenskapliga ändamål om regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat det.
När det är fråga om utlämnande av uppgifter till den angivna forskningen eller till en utredning av oredlighet i sådan forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning får endast personuppgifter som inte är direkt hänförliga till den enskilde lämnas ut. Uppgifterna får dock vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till personnummer eller motsvarande identitetsbeteckning (s.k. löpnummer).
Löpnummer och personnummer (s.k. kodnyckel) får lämnas ut till en annan myndighet om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till det etikgodkända forskningsprojektet.
Promemorians förslag: Överensstämmer delvis med regeringens förslag. Promemorians förslag till lagtext innehåller en exemplifiering av vad som avses med miljö. Förslaget innebär vidare att uppgifter endast ska få lämnas ut till forskning som bedrivs vid statliga universitet och högskolor. I promemorians förslag används uttrycket "avidentifierade uppgifter" för att beteckna uppgifter som inte är direkt hänförliga till den enskilde. Promemorian innehåller inte något förslag om att uppgifter om löpnummer och personnummer (s.k. kodnyckel) får lämnas ut till andra registerförande myndigheter om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till ett etikgodkänt forskningsprojekt.
Remissinstanserna: Förslaget har tillstyrkts eller lämnats utan invändningar av bl.a. Förvaltningsrätten i Stockholm, Läkemedelsverket, Statskontoret, Universitetskanslersämbetet, Linköpings universitet, Karolinska institutet, Kungl. Tekniska högskolan, Vetenskapsrådet, Sveriges Kommuner och Landsting, Stockholms läns landsting, Landstinget i Uppsala län, Landstinget i Östergötland, Vårdalstiftelsen och Svenska Journalistförbundet.
Stockholms universitet anser att det är väsentligt att man i lagförslaget gör en distinktion mellan uppgifter för att skapa underlag för forskningsprojekt och uppgifter för preciserade och relativt snävt avgränsade forskningsprojekt, dvs. forskningsprojekt av den typ som etikprövningsnämnder regelbundet prövar. Det förtydligande som har gjorts i förslaget om att personuppgifter får behandlas för att "skapa underlag för olika forskningsprojekt", dvs. för att bygga upp databaser med en annan terminologi är enligt universitetet utmärkt och ett nödvändigt steg framåt för att lösa upp låsningar mellan myndigheter och forskare när det gäller tolkningen av nuvarande lagstiftning. Stockholms universitet och Centrala etikprövningsnämnden anser dock att lagtextens precisering av begreppet miljö såsom förebyggande åtgärder och sjukdomsbehandling är onödigt snäv.
Flera remissinstanser, bl.a. Statens folkhälsoinstitut och Centrala etikprövningsnämnden, anser att uppgifter från registren även bör kunna lämnas ut till forskning som bedrivs av andra myndigheter än universitet och högskolor. Stockholms läns landsting anser att vissa uppgifter hos ett universitet eller högskola som samlats in med stöd av den föreslagna lagen torde kunna bli betydelsefulla för patientnära forskning som bedrivs med ett landsting som forskningshuvudman eller som sker integrerat med kvalitetssäkringen hos nationella eller regionala kvalitetsregister. Uppgifter som samlats in enligt den föreslagna lagen kan enligt landstinget sannolikt även vara av värde för myndigheter inom hälso- och sjukvården för andra ändamål utöver forskning såsom verksamhetsuppföljning, kvalitetssäkring eller för statistiska ändamål. Landstinget ifrågasätter om den föreslagna lagens strama reglering av ändamål och utlämnande kan skapar inlåsningseffekter, som kan försvåra exempelvis ändamålsenlig interaktion med i kvalitetsregister förekommande personuppgifter. Lunds universitet påpekar att även om lagen föreslås ha en begränsad giltighetstid i avvaktan på ett mera generellt förslag kan en särlösning innebära att vissa frågor låses och att det kan bli svårt att frångå den lösning som nu beslutas. Universitetet befarar att lagens detaljerade föreskrifter och långtgående skydd för de individer som medverkar går så långt att detta motverkar representativitet och andra forskningsinriktade mål. Stockholms universitet anser att lagen bör vara tillämplig även på annan angelägen forskning, t.ex. nationella och longitudinella studier av skolbarn.
Justitiekanslern anser att det kan ifrågasättas om de i lagförslaget angivna ändamålen för de aktuella registren är tillräckligt precisa för att uppfylla kraven i dataskyddsdirektivet. Datainspektionen anser att ändamålet med personuppgiftsbehandlingen i förslaget är mycket vidare än i de hälsodataregister som inspektionen ser som möjliga förebilder och att det i detta fall rör sig om ett mycket större antal uppgifter än vad som registreras i hälsodataregistren. Lagförslaget kan enligt Datainspektionen därför inte sägas ha ett begränsat ändamål i den bemärkelse som hälsodataregistren har. Skåne läns landsting ifrågasätter att man överhuvudtaget kan betrakta en viljeyttring att delta i ett sådant register som ett informerat samtycke.
Flera remissinstanser, bl.a. Socialstyrelsen, Göteborgs universitet och Skåne läns landsting har anfört att inte framgår klart vad som menas med "avidentifierad" och att begreppet används på ett felaktigt sätt i promemorian. Cancerfonden påpekar att forskningsprojekt baserade på den tilltänkta typen av register ofta kräver länkning av personuppgifter till exempelvis hälsodataregister. I lagförslaget understryks att endast avidentifierade personuppgifter får utlämnas för senare forskningsprojekt. Cancerfonden vill förvissa sig om att denna skrivning ändå medger länkning till t.ex. nationella hälsodataregister i senare forskningsprojekt eftersom en del av potentialen i den tilltänkta typen av register annars går förlorad. Socialstyrelsen ifrågasätter varför inte personnummerförsedda uppgifter får lämnas ut från de här aktuella registren om forskningspersonerna har samtyckt till den behandlingen.
Kammarrätten i Stockholm anser att 7 § inte handlar om ändamålet utan snarare behandling och utlämnande av personuppgifter och att det föreslagna lagrummet därför bör få en egen rubrik, nämligen Tillhandahållande.
När det gäller det utkast till lagrådsremiss som vissa remissinstanser under den fortsatt beredningen har beretts tillfälle att yttra sig över (se avsnitt 3), och som i sak överensstämmer med regeringens förslag, har Datainspektionen framfört att myndigheten fortfarande ifrågasätter lagförslagets förenlighet med dataskyddsdirektivet när det gäller de föreslagna ändamålen för personuppgiftsbehandlingen samt att den föreslagna möjligheten att lämna ut de registrerades personnummer eller motsvarande identitetsbeteckning och löpnummer till andra myndigheter för att de ska kunna lämna ut ytterligare uppgifter till det aktuella forskningsprojektet innebär en försämring av integritetsskyddet. Datainspektionen avstyrker bl.a. med hänsyn härtill förslaget. Övriga myndigheter och organ som har beretts tillfälle att yttra sig över utkastet har inte haft några invändningar mot förslaget.
Skälen för regeringens förslag
Primära ändamål
Som nämnts i avsnitt 4.2.1 brukar man i registerförfattningar dela upp ändamålen för personuppgiftsbehandlingen i primära och sekundära ändamål. Primära ändamål avser myndighetens eget behov av att behandla uppgifter. Sådana ändamål måste enligt dataskyddsdirektivet vara särskilda, uttryckligt angivna och berättigade.
Det första primära ändamålet för behandlingen av personuppgifter enligt den föreslagna lagen bör vara att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Med "arv" avses alla slags ärftliga egenskaper. Med "miljö" avses alla omvärldsfaktorer som kan påverka människors hälsa, t.ex. kost, livsstil, förebyggande åtgärder och sjukdomsbehandling. I promemorians lagtextförslag finns de två sistnämnda omvärldsfaktorerna intagna som exempel. Stockholms universitet och Centrala etikprövningsnämnden har dock uppfattat exemplifieringen som en precisering av begreppet "miljö" som de anser vara onödigt snäv. För att undvika missförstånd anser regeringen att nämnda exempel inte bör ingå i lagtexten.
För att skapandet av ovan nämnda underlag ska kunna användas för avsedd forskning måste uppgifterna också kunna lämnas ut till sådan forskning. Ett andra primärt ändamål bör därför vara utlämnande av uppgifter för forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. En förutsättning för ett sådant utlämnande bör dock vara att såväl forskningen som den tilltäckta behandlingen av personuppgifter har godkänts enligt etikprövningslagen. Ytterligare en förutsättning bör vara att utlämnandet endast avser personuppgifter som inte är direkt hänförliga till den enskilde. Personuppgifterna bör dock vid utlämnandet få vara försedda med en beteckning som hos den personuppgiftsansvarige är kopplad till den registrerades personnummer eller motsvarande identitetsbeteckning (s.k. löpnummer). Detta är nödvändigt för att den som uppgifterna lämnas till ska kunna uppdatera uppgifterna inom ramen för forskningsprojektet. Regeringen delar den uppfattning som framförts av flera remissinstanser, bl.a. Socialstyrelsen, Göteborgs universitet och Skåne läns landsting, att uttrycket avidentifierade uppgifter inte bör användas i lagtexten för sådana personuppgifter som inte är direkt hänförliga till den enskilde.
I promemorian föreslås att uppgifter endast ska få lämnas till sådan forskning som bedrivs vid statliga universitet och högskolor. Flera remissinstanser, bl.a. Statens folkhälsoinstitut och Centrala etikprövningsnämnden, har invänt mot detta. Regeringen delar uppfattningen att uppgifter även bör kunna lämnas ut till forskning som bedrivs av andra myndigheter än universitet och högskolor. Huruvida det i framtiden bör finnas möjlighet att även lämna ut uppgifter till forskning som bedrivs av privata rättssubjekt bör lämpligen utredas av Registerforskningsutredningen (se avsnitt 4.4). En eventuell framtida ändring av ändamålet i detta avseende innebär dock naturligtvis att ett informerat samtycke från den registrerade kommer att behöva inhämtas innan utlämnande kan ske för det nya ändamålet.
Justitiekanslern, Datainspektionen och Skåne läns landsting har ifrågasatt om de i lagförslaget angivna ändamålen för de aktuella registren är tillräckligt precisa för att uppfylla kraven i dataskyddsdirektivet. Som framgår av avsnitt 5.1. har riksdag och regering i ett flertal författningsärenden gjort bedömningen att "forskning" är ett tillräckligt preciserat ändamål enligt dataskyddsdirektivet. De föreslagna ändamålen är dock mer preciserade än så, eftersom de avser att skapa underlag för och lämna ut uppgifter till en viss närmare angiven typ av forskning, nämligen forskning om vad arv och miljö betyder för uppkomsten och utvecklingen av olika sjukdomar och för människors hälsa i övrigt. Mot denna bakgrund delar inte regeringen dessa remissinstansers tvekan.
Andra remissinstanser, bl.a. Stockholms läns landsting och Stockholms universitet har ansett att de förslagna ändamålen i stället är för snävt avgränsade och att lagen bör reglera personuppgiftsbehandling även för andra ändamål. Stockholms läns landsting och Lunds universitet ifrågasätter vidare om inte lagen, även om den föreslås ha en begränsad giltighetstid i avvaktan på ett mera generellt förslag, med bl.a. dess strama reglering av ändamål och utlämnande, kan innebära att vissa frågor låses och att det i framtiden kan bli svårt att frångå den lösning som nu beslutas.
Som remissinstanserna påpekar är det fråga om en tillfällig lag. Att regeringen väljer att föreslå en lag med primära ändamål som är begränsade till en viss typ av forskning ska, som nämnts i avsnitt 5.1 inte tas till intäkt för att register som byggs upp för andra forskningsändamål än som anges i den föreslagna lagen inte skulle vara tillåtna. Med hänsyn till att det är fråga om en tillfällig lag som införs i avvaktan på ett pågående utredningsarbete (se avsnitt 4.4) anser regeringen vidare att det finns skäl att avgränsa lagens tillämpningsområde på ett tydligt sätt. På motsvarande sätt som när det gäller den tidsbegränsade lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, anser regeringen vidare att en tillfällig reglering inte utgör något hinder mot att den framtida regleringen, som kommer att baseras på nu pågående utredningsarbete, utformas på ett annat sätt.
Sekundära ändamål
Sekundära ändamål avser myndighetens utlämnande av personuppgifter för att tillgodose andras behov. Ett sekundärt ändamål i den nu föreslagna lagen bör vara granskning av nu aktuell forskning. Granskning av forskning kan genomföras genom att uppgifterna i registret används i nya forskningsprojekt. Granskning av forskning kan också genomföras av en högskola under en utredning om misstanke om oredlighet i forskning. Högskolan får under en sådan utredning hämta in ett yttrande från expertgruppen för oredlighet i forskning hos Centrala etikprövningsnämnden, se 1 kap. 16 § högskoleförordningen (1993:100). Personuppgifter bör få lämnas ut till en utredning av oredlighet i forskning om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, samt för att ett yttrande i samband med en sådan utredning ska kunna lämnas. Även då uppgifter lämnas ut för sådana ändamål bör endast uppgifter som inte är hänförliga till den enskilde få lämnas ut. Uppgifterna bör dock få förses med en beteckning (s.k. löpnummer) som hos den personuppgiftsansvarige kan kopplas till den registrerades personnummer.
Cancerfonden har efterfrågat preciseringar av hur uppgifter från de aktuella registren som lämnats ut till ett forskningsprojekt ska kunna sambearbetas med uppgifter som inom ramen för forskningsprojektet ska inhämtas från t.ex. ett hälsodataregister, om uppgifterna från nu aktuella register enbart ska få lämnas ut i avidentifierad form. Regeringen anser att regleringen bör utformas så att den inte hindrar sambearbetning av registeruppgifter inom ramen för ett forskningsprojekt som godkänts enligt etikprövningslagen. Det bör därför vara möjligt för ett universitet eller högskola att lämna ut löpnummer och personnummer (s.k. kodnyckel) till en annan registerförande myndighet om det är nödvändigt för att den myndigheten ska kunna lämna ut uppgifter om samma personer till ett etikgodkänt forskningsprojekt.
Datainspektionen har i sitt yttrande under den fortsatt beredningen (se avsnitt 3) invänt att en sådan möjlighet till utlämnande av kodnyckel innebär en försämring av integritetsskyddet. Datainspektionen anser att ett sådant utlämnande gör att det blir omöjligt för de registrerade att överblicka vilka uppgifter om dem som efter en etikprövning kan komma att behandlas på grund av deras deltagande i ett register enligt den föreslagna lagen. Regeringen konstaterar att gällande regelverk innebär att forskning som godkänts av en etikprövningsnämnd kan genomföras utan att de registrerade har någon vetskap om att uppgifter som finns om dem i t.ex. ett hälsodataregister eller kvalitetsregister behandlas för forskningsändamål. Den som överväger att samtycka till att lämna uppgifter till ett register enligt den nu föreslagna lagen kommer att informeras om att en s.k. kodnyckel kan komma att lämnas ut till andra myndigheter för det fall en etikprövningsnämnd godkänner att uppgifter inom ramen för en viss forskning inhämtas från såväl ett register enligt den nu föreslagna lagen som från andra register som förs av myndigheter (se avsnitt 5.7.1). Regeringen anser med hänsyn härtill inte att den ordning som nu föreslås innebär någon försämring av integritetsskyddet för de registrerade.
För att undvika konflikter med eventuell annan lagstiftning som innebär en uppgiftsskyldighet bör uppgifter också få lämnas ut om det finns en skyldighet enligt lag att göra det. En sådan uppgiftsskyldighet är t.ex. offentlighetsprincipen, se vidare avsnitt 6 om sekretess.
För tydlighets skull bör det också anges att personuppgifter som har registrerats enligt lagen alltid får lämnas ut till den registrerade själv.
Med hänsyn till att den föreslagna lagen avser behandling av särskilt känsliga uppgifter, bl.a. uppgifter om resultatet av genetiska undersökningar, och då det endast är fråga om tillfällig lag, bör personuppgifter inte få behandlas för några andra ändamål än som uttryckligen angetts i lagen. Det bör alltså inte vara möjligt att med tillämpning av 9 § första stycket d personuppgiftslagen behandla personuppgifter för ett ändamål som inte är oförenligt med det för vilket uppgifterna samlats in. Det bör inte heller vara möjligt att tillämpa bestämmelsen i 9 § andra stycket personuppgiftslagen om att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Med hänsyn till den föreslagna lagens tillfälliga karaktär och till att den permanenta reglering som kommer att ersätta den kan komma att vara utformad på ett annat sätt när det gäller finalitetsprincipen bör det dock, i avvaktan på ett förnyat ställningstagande i nu aktuella frågor i samband med ett sådant lagstiftningsarbete, finnas en möjlighet att bevara personuppgifter för historiska, statistiska eller vetenskapliga ändamål. Som framgår av avsnitt 5.6 föreslår regeringen att personuppgifter som inte längre behövs för de primära ändamålen ska gallras, men att det ska vara möjligt för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om eller i ett enskilt fall besluta att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Som Lagrådet har påpekat bör ett sådant bevarande anges som ett av de ändamål för vilka personuppgifter får behandlas enligt lagen. Det är dock bara själva bevarandet för sådana ändamål som tillåts. För det fall uppgifter lämnas över till en arkivmyndighet får arkivmyndigheten under lagens giltighetstid bara lämna ut uppgifter för sådana ändamål som i övrigt anges i detta avsnitt.
5.5 Personuppgifterna i registret
Regeringens förslag: I ett register enligt den föreslagna lagen får det i fråga om personuppgifter bara finnas
- uppgifter som den registrerade själv har lämnat i syfte att de ska ingå i registret,
- uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i registret,
- uppgifter om undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i registret,
- kategoriseringar av sådana uppgifter som avses ovan,
- kontaktinformation till den registrerade,
- andra uppgifter än som avses ovan och som den registrerade uttryckligen har samtyckt till får ingå i registret, och
- uppgifter om utlämnande som har skett till forskning.
Regeringens bedömning: Regeringen eller den myndighet som regeringen bestämmer bör meddela föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. Promemorians förslag innebär att uppgifter som den registrerade lämnat om biologiska släktingar ska få registreras under förutsättning att uppgifterna inte direkt pekar ut personerna i fråga. Promemorian innehåller vidare en alternativ möjlighet att registrera uppgifter avseende genetiska undersökningar. Sådana ska enligt förslaget få registreras under förutsättning att den registrerade, efter att ha fått del av analysresultaten, uttryckligen samtyckt till registrering. Vidare anges som förutsättning för registrering av andra uppgifter än sådana som den enskilde själv har lämnat eller medverkat till i syfte att de ska registreras att de endast ska få registreras under förutsättning att den enskilde, efter att ha fått del av uppgifterna, uttryckligen samtyckt till registrering.
Remissinstanserna: En majoritet av remissinstanserna har inget att invända mot förslaget.
Göteborgs universitet och Centrala etikprövningsnämnden anser att en registrering av uppgifter om biologiska släktingar, som görs under förutsättning att de uppgifter som registreras inte direkt pekar ut släktingarna, har ett begränsat värde för forskningen. Justitiekanslern och Datainspektionen ifrågasätter om en ordning som innebär att uppgifter om biologiska släktingar registreras utan att dessa personer på något sätt kontaktas eller informeras är förenlig med dataskyddsdirektivet.
Cancerfonden har ifrågasatt förslaget i den delen det avser registrering av uppgifter om genetiska undersökningar. Cancerfonden menar att ett krav att den enskilde först ska få ta del av analysresultatet innan uppgifter om den genetiska undersökningen ska få registreras är problematiskt av flera skäl. Till att börja med är det forskningsetiskt tveksamt om tolkningsbar information kan lämnas om resultaten av genetiska undersökningar, i synnerhet som dessa i allt mindre utsträckning avser test av enskilda specifika gener och i allt högre utsträckning avser storskaliga molekylärbiologiska ("high throughput") analyser av tusentals gener och genetisk information vilken endast blir möjlig att tolka efter omfattande bioinformatisk bearbetning, och då i biostatistiska termer. Cancerfonden anser vidare att det är en kostsam ordning, att ordningen skulle kunna hota deltagarfrekvensen och det kan innebära en ekonomisk risk för den som bekostar undersökningen. Även Umeå universitet påtalar att det finns praktiska problem med att bryta ner genetiska resultat, som man får på gruppnivå, till resultat som ska nyttjas för individuell rådgivning, eftersom mycket få genetiska resultat innebär en entydig risk för ohälsa i det individuella fallet. Universitetet påpekar vidare att sådan återkoppling kräver mycket delikata avväganden som forskaren själv normalt inte bör tillåtas göra, och att den registrerade i många fall hellre kan vilja förbli ovetande om att han eller hon bär på anlag som ökar risken för en obotlig kronisk sjukdom. Förslaget kommer enligt universitetet att innebära återkommande kontakter med de personer som deltagit i studier, vilket innebär tidskrävande administration och en uppenbar risk för att intresset för deltagande i olika forskningsstudier minskar. Landstinget i Uppsala län anser att innan man tar ställning till en bestämmelse om att resultat av genetiska undersökningar inte får registreras utan att den registrerade först har fått ta del av resultatet och uttryckligen samtyckt till det, bör man först försöka bedöma effekten av en sådan bestämmelse, t.ex. om det finns risk för att detta kan leda till att registret får ett begränsat värde för forskningen om arv och miljö, och om det inte räcker med att den registrerade har rätt att få sina uppgifter strukna. Även Centrala etikprövningsnämnden har ställt sig frågande till förslaget i denna del.
Statens medicinsk-etiska råd anser att det i lagtexten bör exemplifieras att med "andra uppgifter" avses uppgifter ur medicinska journaler. Socialstyrelsen efterfrågar redogörelser av hur inhämtningen av "andra uppgifter" ska göras och huruvida avsikten är att det ska ske med åberopande av ett samtycke eller en fullmakt från varje deltagare i studien och om kopior av sådana fullmakter skulle behöva lämnas vid varje förnyad begäran av att få del av uppgifterna. Enligt Socialstyrelsen skulle en sådan ordning medföra en hel del praktiska problem och myndigheten anser att ett lämpligare förfaringssätt i så fall är att införa någon typ av sekretessbrytande bestämmelser för denna typ av uppgifter. Cancerfonden undrar om det är möjligt att flytta en del av dessa konsekutiva samtyckesförfaranden, per resultat eller påförd informationsmängd, till det ursprungliga samtycket att delta i registret.
När det gäller det utkast till lagrådsremiss som vissa remissinstanser under den fortsatt beredningen har beretts tillfälle att yttra sig över (se avsnitt 3), och som överensstämmer med regeringens förslag, har Datainspektionen framfört att myndigheten anser att det är en försämring ur integritetsskyddssynpunkt att förslaget att den registrerade, innan han eller hon tillfrågas om samtycke, ska få ta del av den information som den personuppgiftsansvarige vill föra in i registret har utgått. Datainspektionen anser inte att ett samtycke till att uppgifter som den registrerade inte tagit del av får registreras, kan vara ett giltigt samtycke. Övriga myndigheter och organ som har beretts tillfälle att yttra sig över utkastet har inte haft några invändningar mot förslaget.
Skälen för regeringens förslag
Får uppgifter om hälsa registreras?
Enligt artikel 8.1 i dataskyddsdirektivet ska medlemsstaterna förbjuda behandling av s.k. känsliga personuppgifter, dvs. sådana uppgifter som bl.a. rör hälsa och sexualliv. Enligt artikel 8.2a gäller det förbudet inte om den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna i sin nationella lagstiftning också besluta om undantag från förbudet (artikel 8.4), men sådana beslutade undantag ska anmälas till Europeiska kommissionen (artikel 8.6).
Som framgår av avsnitt 5.4 bör de primära ändamålen med registret vara dels att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, dels att lämna ut uppgifter till sådan forskning under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts enligt etikprövningslagen och att forskningen bedrivs vid en myndighet. Som regeringen återkommer till i avsnitt 5.7 bör uppgifter inte få samlas in i syfte att de ska registreras i ett register som förs enligt den föreslagna lagen utan att den person som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt den föreslagna lagen.
Ett uppbyggande på frivillig grund av databaser hos statliga universitet och högskolor med basmaterial som kan lämnas ut till konkreta forskningsprojekt som har godkänts vid en etikprövning är enligt regeringen också ett sådant viktigt allmänt intresse som avses i dataskyddsdirektivet. De bestämmelser som finns i den föreslagna lagen, bl.a. i fråga om information, samtycke och utplåning av uppgifter (se avsnitt 5.7), får anses utgöra sådana lämpliga skyddsåtgärder som avses i dataskyddsdirektivet.
Regeringen anser således att dataskyddsdirektivet inte hindrar att känsliga personuppgifter får behandlas enligt den föreslagna lagen.
Vilka uppgifter bör få registreras?
De uppgifter som efter att ett uttryckligt samtycke från den enskilde bör få samlas in och registreras i ett register enligt den föreslagna lagen är till att börja med uppgifter som den registrerade själv har lämnat. Det kan t.ex. vara svar på enkäter om bl.a. kostvanor, livsstil, rökning och medicinering. Ett register enligt den föreslagna lagen kommer vidare ofta att vara kopplat till prover som den registrerade vid en undersökning frivilligt har lämnat för analys och senare registrering av analysresultaten. Med undersökningar avses bl.a. mätningar av försökspersonernas fysiologiska egenskaper, t.ex. syn, hörsel, lungfunktion, blodtryck m.m. samt prover med biologiskt material från människa. Även uppgifter om eller i form av upptagningar som den registrerade frivilligt har medverkat till kan behöva registreras för enklare framsökning av personer med vissa egenskaper. Med upptagningar avses röntgenbilder eller annan bild- eller ljudinformation som avser människa. Uppgifter som rör sådana prover och upptagningar som den registrerade själv har lämnat eller annars medverkat till i syfte att analysresultaten ska ingå i registret bör alltså få registreras. När det gäller registrering avseende analysresultat av genetiska undersökningar bör det dock, med hänsyn till de särskilda restriktioner som finns i lagen (2006:351) om genetisk integritet m.m. avseende genetiska undersökningar och användningen av genetisk information, uppställas särskilda krav för att registrering ska få ske.
I promemorian föreslås att uppgifter om genetiska undersökningar ska få registreras under två alternativa förutsättningar, antingen under förutsättning att den registrerade - efter att ha fått del av analysresultaten - uttryckligen samtyckt till registrering, eller under förutsättning att regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om det. Mot bakgrund av den kritik som har riktats mot det förstnämnda förslaget från bl.a. Cancerfonden och Umeå universitet anser regeringen att uppgifter om genetiska undersökningar endast ska få registreras under förutsättning att regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om det.
Utöver ovan nämnda uppgifter bör kategoriseringar av uppgifterna, kontaktinformation till den registrerade och uppgifter om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut få registreras.
När det gäller andra uppgifter än de ovan angivna föreslås i promemorian att sådana uppgifter enbart får registreras efter det att den registrerade först tagit del av uppgifterna och därefter uttryckligen samtyckt till behandlingen. Flera remissinstanser, bl.a. Socialstyrelsen och Cancerfonden, har ifrågasatt detta förslag från praktiska utgångspunkter. Regeringen anser mot denna bakgrund att det inte bör uppställas krav på att det enskilde tagit del av varje enskild uppgift före samtycket utan att det bör räcka att den enskilde, efter att ha fått information om vilka kategorier av uppgifter det är fråga om, samt, för det fall ett nytt samtycke inte avses inhämtas före varje uppdatering av uppgifterna, med vilken periodicitet sådana uppgifter kommer att uppdateras, uttryckligen samtycker till att uppgifterna inhämtas för registrering för att dessa ska få inhämtas och registreras. Efter sådant samtycke kan t.ex. uppgifter som har samlats in före ikraftträdandet av den föreslagna lagen, journalanteckningar och resultaten av analyser som gjorts inom sådana forskningsprojekt som har godkänts vid en etikprövning inhämtas och registreras.
Datainspektionen har i sitt yttrande under den fortsatt beredningen (se avsnitt 3) framfört att myndigheten anser att det är en försämring ur integritetsskyddssynpunkt att förslaget att den registrerade, innan han eller hon tillfrågas om samtycke, ska få ta del av den information som den personuppgiftsansvarige vill föra in i registret, har utgått. Datainspektionen anser att ett samtycke till att uppgifter som den registrerade inte tagit del av får registreras, inte kan vara ett giltigt samtycke. Regeringen anser att lagförslagets krav på ett uttryckligt samtycke för att kunna föra in uppgifter i de aktuella registren inte utesluter att den registrerade om han eller hon så önskar begär att få ta del av de efterfrågade uppgifterna innan samtycke ges. Förslagets utformning ger sålunda ett fullgott integritetsskydd och utrymme för självbestämmande för den enskilde.
I promemorian förslås även att uppgifter som den registrerade lämnat om biologiska släktingar ska få registreras under förutsättning att uppgifterna inte direkt pekar ut personerna i fråga. Justitiekanslern och Datainspektionen ifrågasätter om en ordning som innebär att uppgifter om biologiska släktingar ska kunna registreras utan att dessa personer på något sätt har kontaktas eller informeras är förenlig med dataskyddsdirektivet. Regeringen delar denna tvekan och anser att uppgifter om en biologisk släkting till den registrerade inte bör få registreras utan dennes informerade och uttryckliga samtycke.
5.6 Behandlingen av personuppgifter
Regeringens förslag: Den personuppgiftsansvarige ska begränsa sina anställdas eller uppdragstagares elektroniska åtkomst till personuppgifter till vad han eller hon behöver för att utföra sina arbetsuppgifter i fråga om registret.
Utlämnande av personuppgifter genom direktåtkomst får inte förekomma.
Bestämmelserna i personuppgiftslagen om rättelse ska tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med den föreslagna lagen.
Personuppgifter som inte längre behövs för att lämnas ut för forskning ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: En majoritet av remissinstanserna har inget att invända mot förslaget.
Kammarrätten i Stockholm anser att lagförslaget bör kompletteras med en bestämmelse om att personuppgifter ska hanteras och förvaras på sådant sätt att obehöriga inte får tillgång till dem.
Skåne läns landsting och Statens medicinsk-etiska råd ställer sig frågande till när och om en situation då uppgifterna inte längre skulle behövas för ändamålet med registret kommer att uppkomma. Örebro universitet anser att det finns en potentiell risk att en granskning vid eventuella metodologiska frågetecken eller forskningsfusk i tidigare studier försvåras om personuppgifter utplånas alltför snabbt. Örebro universitet föreslår att man kan överväga säker arkivering av material (med åtkomst endast i de fall då det finns metodologiska frågetecken eller då man misstänker forskningsfusk), åtminstone för större eller kontroversiella projekt, under en period av några år efter det att projektet har avslutats.
När det gäller det utkast till lagrådsremiss som vissa remissinstanser under den fortsatta beredningen har beretts tillfälle att yttra sig över (se avsnitt 3), och som i sak överensstämmer med regeringens förslag, har Riksarkivet framfört att det enligt myndighetens uppfattning saknas motiv för att meddela från arkivlagen avvikande bestämmelser om gallring av personuppgifter.
Skälen för regeringens förslag
Som framgått av avsnitt 5.2 ska den föreslagna lagen bara innehålla sådan reglering som kompletterar eller ersätter regleringen i personuppgiftslagen i de frågor som är specifika för den verksamhet som regleras i föreslagna lagen.
Sökbegränsningar
I särskilda registerförfattningar förekommer det inte sällan s.k. sökbegränsningar som förbjuder användningen av vissa sökbegrepp. Med hänsyn till att det för utlämnande till forskningsprojekt måste vara möjligt att göra urval baserade på de faktorer eller variabler som ska studeras bör det dock inte i den föreslagna lagen ställas upp några begränsningar för vilka sökbegrepp som får användas.
Intern elektronisk tillgång till personuppgifter och direktåtkomst
I lagrådsremissen föreslogs att det i lagen bör föreskrivas dels att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter, dels att direktåtkomst till personuppgifterna i registret inte ska få förekomma. Lagrådet har förordat att dessa bestämmelser ska förtydligas och har föreslagit att de utformas efter mönster av 114 kap. 18 § socialförsäkringsbalken. Enligt 114 kap. 6 § första stycket socialförsäkringsbalken gäller personuppgiftslagen vid behandling av personuppgifter inom socialförsäkringens administration, om inte annat följer av det kapitlet eller föreskrifter som meddelas med stöd av kapitlet eller av personuppgiftslagen. Med socialförsäkringens administration avses i kapitlet Försäkringskassan och Pensionsmyndigheten. Socialförsäkringsdatabasen utgörs av den samling uppgifter som med hjälp av automatiserad behandling används gemensamt i verksamhet som gäller förmåner enligt socialförsäkringsbalken samt andra förmåner som handläggs av Försäkringskassan eller Pensionsmyndigheten (5 §). Vidare är Försäkringskassan respektive Pensionsmyndigheten personuppgiftsansvarig för den behandling av personuppgifter som respektive myndighet utför (6 § andra stycket). Enligt 18 § är direktåtkomst till socialförsäkringsdatabasen tillåten endast i den utsträckning som anges i lag eller förordning. I 19-23 §§ anges i vilken utsträckning Försäkringskassan, Pensionsmyndigheten och vissa andra myndigheter och organ får ha direktåtkomst. I 19 § anges att Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till socialförsäkringsdatabasen i den utsträckning det behövs för vissa angivna ändamål samt att sådan direktåtkomst ska vara förbehållen de personkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna.
Regeringen konstaterar att begreppsbildningen i de för närvarande cirka 200 registerförfattningarna har vissa brister när det gäller enhetlighet. Olika begrepp används för att beskriva samma företeelse, samtidigt som samma begrepp förekommer i olika betydelser. En särskild utredare har bl.a. därför fått i uppdrag att bl.a. utarbeta en generell modell för reglering av registerfrågor samt att inom tre verksamhetsområden lämna konkreta förslag till registerförfattningar, s.k. modellregleringar Uppdraget ska redovisas senast den 1 december 2014 (dir. 2011:86). Begreppet direktåtkomst är ett sådant begrepp som har utvecklats över tid och därför har olika innebörd i olika registerförfattningar. Begreppets grundläggande innebörd är vanligtvis att någon har direkt tillgång till någon annans register eller databaser och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av (se t.ex. prop. 2004/05:164 s. 83). Det ska dock beaktas att en bestämmelse om direktåtkomst inte har någon sekretessbrytande verkan i sig utan en förutsättning för att direktåtkomst ska kunna tillåtas mellan t.ex. två myndigheter är att åtkomsten antingen avser endast offentliga uppgifter eller avser sådana sekretessbelagda uppgifter som får lämnas ut till den mottagande myndigheten med stöd av särskilda sekretessbrytande bestämmelser. Sekretess kan även gälla inom en myndighet, nämligen mellan olika verksamhetsgrenar när de uppträder självständigt mot varandra (8 kap. 2 § offentlighets- och sekretesslagen [2009:400, OSL]). En bestämmelse om direktåtkomst som tar sikte på utlämnande av uppgifter mellan sådana verksamhetsgrenar förutsätter därför att det finns eller införs en sekretessbrytande bestämmelse som tillåter ett sådan utlämnande.
I vissa författningar från främst början av 2000-talet används begreppet direktåtkomst om elektronisk åtkomst oavsett om det är fråga om sådan elektronisk åtkomst som den personuppgiftsansvarigas anställda eller uppdragstagare har till personuppgifterna eller om det är fråga om sådan elektronisk åtkomst som innefattar ett utlämnande av uppgifter, t.ex. till andra myndigheter (jfr 8 § lagen [1998:543] om hälsodataregister). På senare år har dock lagstiftaren frångått denna användning av begreppet och man skiljer numera på olika former av elektronisk åtkomst. För den elektroniska åtkomst som den personuppgiftsansvariges anställda eller uppdragstagare har används numera uttryck såsom "elektronisk åtkomst" eller "intern elektronisk tillgång" medan begreppet "direktåtkomst" reserveras för sådan elektronisk åtkomst som innefattar ett utlämnande av uppgifter, se t.ex. 4 kap. 2-5 §§ respektive 5 kap. 4 och 5 §§ patientdatalagen (2008:355) och prop. 2007/08:126 s. 73 f. samt 9-14 §§ studiestödsdatalagen (2009:287) och prop. 2008/09:96 s. 53 f.
Som nämnts ovan har Lagrådet hänvisat till socialförsäkringsbalken som en lämplig förebild när det gäller hur regleringen om direktåtkomst i den föreslagna lagen ska utformas. I socialförsäkringsbalkens reglering är databasbegreppet en juridisk konstruktion som utgör underlag för en gemensam reglering av vissa behandlingar av personuppgifter, nämligen sådana behandlingar som avser personuppgifter som används gemensamt i viss verksamhet hos de myndigheter som ingår i socialförsäkringens administration, dvs. Försäkringskassan och Pensionsmyndigheten. Det avgörande för om en uppgift skall anses användas "gemensamt" är om den behandlas på ett sådant sätt att den utgör "allmän egendom" i verksamheten (prop. 2002/03:135 s. 49 f.). Som nämnts tidigare är Försäkringskassan respektive Pensionsmyndigheten personuppgiftsansvarig för den behandling av personuppgifter som myndigheten i fråga utför, t.ex. när det gäller införande av uppgifter i databasen eller hämtande av uppgifter från databasen. Av 114 kap. 19 § socialförsäkringsbalken följer att Försäkringskassan och Pensionsmyndigheten får ha direktåtkomst till gemensamma uppgifter i databasen i syfte att behandla uppgifterna för vissa angivna ändamål i sina operativa verksamheter. Den ena myndigheten kan således ha direktåtkomst till uppgifter som den andra myndigheten har fört in i registret och den mottagande myndigheten kan sedan använda uppgifterna i sin verksamhet. Bestämmelserna i 114 kap. 18-23 §§ socialförsäkringsbalken motsvarar 17-20 b §§ i den numera upphävda lagen (2003:763) om behandling av pensionsuppgifter inom socialförsäkringens administration. I förarbetena till bestämmelserna omtalas i samband med begreppet direktåtkomst endast utlämnande till andra myndigheter och enskilda (prop. 2002/03:135 s. 88 f).
Som nämnts ovan är regeringens avsikt att myndigheter som avser att behandla uppgifter från ett register enligt den föreslagna lagen för sådan forskning eller annat sekundärt ändamål som anges i avsnitt 5.4 inte ska få ha elektronisk åtkomst till registret. Det är bara de anställda och uppdragstagare hos den personuppgiftsansvariga myndigheten som ska sköta den verksamhet som avser själva hanteringen av registret, t.ex. arbetsuppgifter som innebär ett införande av uppgifter i registret eller utlämnande av uppgifter från registret, som ska få ha elektronisk åtkomst till personuppgifterna. Sådan åtkomst ska vidare begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret.
Med hänsyn till att det är viktigt att de begrepp som används i registerförfattningar används så enhetligt som möjligt (jfr dir. 2011:86 s. 19) anser regeringen att man i den föreslagna lagen, på så sätt som numera sker, bör skilja mellan dels sådan elektronisk åtkomst som den personuppgiftsansvarigas anställda eller uppdragstagare har till personuppgifterna för att kunna sköta sina arbetsuppgifter i fråga om registret, dels sådan elektronisk åtkomst som innefattar ett utlämnande av uppgifter från registret till någon annan, t.ex. en annan myndighet eller en annan självständig verksamhet inom samma myndighet gentemot vilken det gäller en sekretessgräns. Den form av elektronisk åtkomst som innefattar ett utlämnande av personuppgifter bör benämnas direktåtkomst och som nämnts tidigare bör sådan åtkomst till personuppgifter i register enligt den föreslagna lagen inte tillåtas. Regeringen anser därför att Lagrådets synpunkter i stället bör beaktas på så sätt att den i lagrådsremissen föreslagna bestämmelsen om att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter bör ändras till att innebära att den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret. Med uppdragstagare avses bl.a. personuppgiftsbiträden.
Eftersom avsikten är att personuppgifter i register enligt den föreslagna lagen ska kunna lämnas ut för att behandlas vidare i viss registerbaserad forskning, görs bedömningen att det inte bör uppställas några restriktioner för andra former av elektroniskt utlämnande av personuppgifter än direktåtkomst. Det bör således inte uppställas några restriktioner i fråga om t.ex. utlämnande på medium för automatiserad behandling.
Som framgått av avsnitt 5.1 anser regeringen att även det universitet eller den högskola som för ett register i syfte att skapa underlag för forskning ska kunna tillåtas använda uppgifterna i egna forskningsprojekt som har godkänts enligt etikprövningslagen. I ett sådant fall är det fråga om utlämnande av uppgifter inom myndigheten, från den verksamhet som avser förande av och uttag ur registret till en verksamhet som avser ett konkret forskningsprojekt. Som regeringen återkommer till i avsnitt 6 föreslås en ändring i offentlighets- och sekretesslagen av innebörd att det ska gälla absolut sekretess för uppgifter i verksamhet som avser förande av och uttag ur register enligt den föreslagna lagen för uppgifter som är direkt hänförliga till den enskilde. Sådana uppgifter ska bara få lämnas ut i den utsträckning som framgår av den föreslagna lagen (se avsnitt 5.4 och 6.2). Vidare ska uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde få lämnas ut endast om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. I ett sådant fall krävs således en sekretessprövning i varje enskilt fall. Som regeringen återkommer till i avsnitt 6.2 medför den föreslagna sekretessregleringen att verksamhet som avser förande av och uttag ur registret enligt den i avsnitt 5.1 föreslagna lagen kommer att utgöra en egen verksamhetsgren inom det universitet eller den högskola som för registret. För att en sekretessgräns ska uppstå inom en myndighet räcker dock inte att det finns olika verksamhetsgrenar utan de måste också organiseras på ett sådant sätt att de förhåller sig självständiga i förhållande till varandra (8 kap. 2 § OSL). För det fall ett universitet eller en högskola väljer att både föra ett register enligt den föreslagna lagen och bedriva sådan forskning till vilken uppgifter från registret kan lämnas ut förutsätter dock regeringen att så sker. Som nämnts ovan ska ett utlämnande av uppgifter i form av direktåtkomst till registret inte vara tillåten. Detta gäller även i förhållande till en annan självständig verksamhetsgren inom den registerförande myndigheten.
Säkerhetsåtgärder
Bestämmelser om säkerhetsåtgärder finns i 30-32 §§ personuppgiftslagen. Kammarrätten i Stockholm anser att lagförslaget bör kompletteras med en bestämmelse om att personuppgifter ska hanteras och förvaras på sådant sätt att obehöriga inte får tillgång till dem. Av 31 § personuppgiftslagen följer bl.a. att den som är personuppgiftsansvarig är skyldig att så långt som möjligt se till att lämpliga organisatoriska och tekniska åtgärder vidtas för att skydda de personuppgifter som behandlas. Regeringen anser därför att en sådan bestämmelse som kammarrätten efterfrågat inte behövs i den föreslagna lagen.
Rättelse
I lagrådsremissen föreslogs att det, på det sätt som är brukligt i särskilda registerförfattningar, bör föreskrivas i den föreslagna lagen att bestämmelserna i personuppgiftslagen om rättelse gäller för behandling av personuppgifter enligt den föreslagna lagen. Reglerna i 28 § personuppgiftslagen om rättelse m.m. gäller nämligen endast för personuppgifter som har behandlats i strid med personuppgiftslagen. Lagrådet har påpekat att det redan finns en allmän bestämmelse om att personuppgiftslagen gäller vid behandling av personuppgifter, om inte annat följer av den föreslagna lagen, samt ifrågasatt om ett särskilt stadgande krävs för att personuppgiftslagens regler om rättelse ska bli tillämpliga på personuppgifter som behandlas i strid med den föreslagna lagen. Enligt Lagrådet uppnås inte heller det avsedda syftet med den utformning av bestämmelsen som har föreslagits i lagrådsremissen. Lagrådet föreslår därför att bestämmelsen exempelvis bör ges lydelsen att bestämmelserna i 28 § personuppgiftslagen om rättelse tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med den föreslagna lagen.
Regeringen konstaterar att den lagstiftningsteknik som valts i lagrådsremissen tidigare har godtagits i ett flertal lagstiftningsärenden på dataskyddsområdet (se t.ex. 11 § lagen [1998:543] om hälsodataregister, 9 § [2001:454] lagen om behandling av personuppgifter inom socialtjänsten, 15 § lagen [2002:546] om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, 14 § lagen [2006:469] om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen och 15 § lagen [2012:741] om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering). I dessa lagar finns dels en allmän bestämmelse som klargör att personuppgiftslagen gäller vid behandling av personuppgifter, om inte annat följer av den särskilda registerlagen, dels en särskild bestämmelse om att personuppgiftslagens bestämmelser om rättelse är tillämpliga vid behandling av personuppgifter enligt den särskilda registerlagen. Regeringen delar således inte Lagrådets tveksamhet i fråga om den valda lagstiftningstekniken och anser att den uppnår sitt syfte. När det gäller frågan hur en sådan bestämmelse närmare bör utformas finns dock exempel på bestämmelser i annan registerlagstiftning som har utformats på ett sätt som liknar Lagrådets förslag (se 8 kap. 3 § patientdatalagen [2008:355]). Regeringen anser att den av Lagrådet föreslagna ordalydelsen är tydligare än den som föreslogs i lagrådsremissen och anser därför att den av Lagrådet föreslagna ordalydelsen bör väljas.
Gallring
Skåne läns landsting och Statens medicinsk-etiska råd har ställt sig frågande till den i promemorian föreslagna bestämmelsen om att personuppgifter som bedöms inte längre behövas för de primära ändamålen ska utplånas eller avidentifieras. Myndigheterna undrar, med hänsyn till ändamålet med registret, när och om utplåning eller avidentifiering av uppgifter kommer att bli aktuell. Örebro universitet påpekar att det finns en potentiell risk att en granskning vid eventuella metodologiska frågetecken eller forskningsfusk i tidigare studier försvåras om personuppgifter utplånas alltför snabbt. Örebro universitet föreslår att man kan överväga säker arkivering av material (med åtkomst endast i de fall då det finns metodologiska frågetecken eller då man misstänker forskningsfusk), åtminstone för större eller kontroversiella projekt, under en period av några år efter det att projektet har avslutats. Riksarkivet har framfört att det enligt myndighetens uppfattning saknas motiv för att meddela från arkivlagen avvikande bestämmelser om gallring av personuppgifter.
Enligt personuppgiftslagen får personuppgifter inte bevaras under en längre tid än som är nödvändigt med hänsyn till ändamålen med behandlingen (9 § första stycket i). Personuppgifter får dock bevaras under den längre tid som de behövs för historiska, statistiska eller vetenskapliga ändamål (9 § tredje stycket). Bestämmelserna i personuppgiftslagen hindrar inte att en myndighet arkiverar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket första meningen). Enligt 3 § arkivlagen (1990:782) ska myndigheters arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Allmänna handlingar får bara gallras om återstående arkivmaterial kan tillgodose dessa ändamål och det krävs särskilda föreskrifter eller beslut för att gallring ska få ske (10 § första och andra styckena arkivlagen). Arkivlagens utgångspunkt är således att allmänna handlingar ska bevaras. Arkivlagen är dock subsidiär, dvs. avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning har företräde (10 § tredje stycket). I de särskilda registerförfattningarna om behandling av personuppgifter i olika verksamheter är utgångspunkten oftast den motsatta i förhållande till arkivlagen, nämligen att uppgifter ska gallras senast efter en viss tid om inte undantag har föreskrivits i registerförfattningen eller i andra bestämmelser som meddelats med stöd av denna. Principen att gallring ska ske motiveras i första hand av integritetsskäl (prop. 1989/90:72 s. 50 f.). Behovet av särskilda gallringsbestämmelser måste avgöras genom en avvägning mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet.
I vissa registerförfattningar, t.ex. lagen (1998:543) om hälsodataregister och de förordningar som meddelats med stöd av den lagen samt 5 kap. lagen (2002:297) om biobanker i hälso- och sjukvården, finns inte någon särskild reglering om bevarande och gallring, vilket innebär att bestämmelserna i 9 § personuppgiftslagen blir tillämpliga. I bl.a. patientdatalagen (2008:355) finns däremot särskilda bestämmelser om bevarande och gallring. När det gäller nationella och regionala kvalitetsregister enligt 7 kap. patientdatalagen ska personuppgifter i ett sådant register gallras när de inte längre behövs för det primära ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 10 § första stycket). En kommunal arkivmyndighet eller i vissa fall regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter om att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål (7 kap. 10 § andra och tredje styckena). Som ett ytterligare exempel kan lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering nämnas. Den lagens giltighetstid har i likhet med den nu föreslagna lagen tidsbegränsats till och med den 31 december 2015 i avvaktan på ett pågående utredningsarbete. Lagen har dock försetts med en bestämmelse om gallringsskyldighet med möjlighet för regeringen eller den myndighet som regeringen bestämmer att besluta att personuppgifter som inte längre behövs för de primära ändamålen och som därför ska gallras, ändå ska kunna bevaras för historiska, statistiska eller vetenskapliga ändamål (14 §).
Register som kommer att föras med stöd av den nu föreslagna lagen kommer att innehålla särskilt känsliga personuppgifter, bl.a. uppgifter om genetiska undersökningsresultat. Behandling av personuppgifter i sådana register sker med stöd av den registrerades uttryckliga samtycke till behandling för vissa bestämda ändamål. De primära ändamålen för behandlingen är att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt samt att lämna ut uppgifter till sådan forskning under de närmare förutsättningar och i den form som anges i den föreslagna lagen. Avsikten är således att personuppgifter ska kunna sparas i registret under lång tid för att göra det möjligt att efter ett utlämnande genomföra longitudinella studier eller undersöka t.ex. vad olika förhållanden i ungdomen har för betydelse för uppkomsten av sjukdom senare i livet. Det är mot den bakgrunden troligt att uppgifterna i registret kommer att behöva lagras för de primära ändamålen under mycket lång tid. Det kan dock inte uteslutas att det kan komma att visa sig att vissa uppgifter inte behövs längre och därför kan gallras. Regeringen anser därför att det bör finnas en särskild gallringsbestämmelse i den föreslagna lagen.
När det gäller frågan hur gallringsbestämmelsen bör utformas anser regeringen att det i detta lagstiftningsärende inte finns tillräckliga skäl att avvika från den lösning som finns i annan jämförbar lagstiftning, dvs. regeringen eller den myndighet som regeringen bestämmer bör ges möjlighet att meddela föreskrifter om eller i ett enskilt fall besluta att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Det bör i och för sig uppmärksammas att regeringen i avsnitt 5.4 föreslår att behandling av personuppgifter enligt den nu föreslagna lagen inte ska tillåtas för andra ändamål än de som anges där, dvs. den uppräkning som görs i lagen av de ändamål för vilka personuppgifter ska få behandlas är uttömmande. Det innebär, till skillnad från vad som gäller enligt t.ex. lagen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering, att den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen inte kommer att vara tillämplig. Som nämnts tidigare innebär denna princip att personuppgifter får behandlas för ett ändamål som inte är oförenligt med de ändamål för vilket uppgifterna samlats in. Inte heller kommer bestämmelsen i 9 § andra stycket personuppgiftslagen, som innebär att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in, att vara tillämplig på uppgifter som behandlas enligt den föreslagna lagen. Detta ställningstagande har gjorts mot bakgrund av att det är fråga om en tillfällig lag i avvaktan på pågående utredningsarbete och att mycket känsliga uppgifter, bl.a. uppgifter om resultatet av genetiska undersökningar, får behandlas enligt lagen (se avsnitt 5.4). Mot bakgrund av regeringens ställningstagande att nu nämnda bestämmelser i 9 § personuppgiftslagen inte ska vara tillämpliga på uppgifter som behandlas enligt den föreslagna lagen skulle det kunna anses vara ologiskt att regeringen föreslår att gallringsbestämmelsen ska förses med ett undantag av innebörd att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om eller i ett enskilt fall får besluta att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Regeringens målsättning är dock att Registerforskningsutredningen ska få så fria händer som möjligt att göra sina bedömningar. Det innebär å ena sidan att det under den tillfälliga lagens giltighetstid inte bör vara möjligt att behandla personuppgifter för andra ändamål än de som uttryckligen nämns i lagen. Å andra sidan bör uppgifter inte gallras i onödan för det fall Registerforskningsutredningen skulle föreslå att ovan nämnda bestämmelser i personuppgiftslagen bör vara tillämpliga i framtiden.
Mot denna bakgrund föreslår regeringen att bestämmelsen om gallring i den föreslagna lagen ska utformas så att personuppgifter som inte längre behövs för de primära ändamålen ska gallras, men att det ska vara möjligt för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om eller i ett enskilt fall besluta att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Regeringen föreslår vidare, vilket framgår av avsnitt 5.4, att ett av de i den föreslagna lagen uttryckligt angivna ändamålen för behandling av personuppgifter ska vara sådant bevarande som avses i nu nämnda bestämmelse. Det är dock bara själva bevarandet för sådana ändamål som tillåts. För det fall uppgifter lämnas över till en arkivmyndighet får arkivmyndigheten under lagens giltighetstid bara lämna ut uppgifter för sådana ändamål som i övrigt anges i avsnitt 5.4.
Med hänsyn till att de uppgifter som kan behandlas enligt den föreslagna lagen är särskilt känsliga och då behandling av personuppgifter i sådana register kommer att ske med stöd av den registrerades uttryckliga samtycke föreslår regeringen, vilket närmare redogörs för i avsnitt 5.7.3, att den enskilde alltid ska ha rätt att begära att uppgifter om honom eller henne i registret ska utplånas (jfr 7 kap. 2 § patientdatalagen) samt att denna rätt, för det fall uppgifter arkiveras, även ska gälla arkiverade uppgifter.
5.7 Samtycke, information, rätt till utplåning av uppgifter
5.7.1 Samtycke och information
Regeringens förslag: Personuppgifter får inte samlas in i syfte att dessa ska registreras i ett register som förs enligt den föreslagna lagen utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt den föreslagna lagen.
Innan en person lämnar sitt samtycke ska han eller hon ha informerats om
- att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,
- för vilka ändamål behandling kan ske och vilka uppgifter som får registreras,
- de sekretess- och säkerhetsbestämmelser som gäller för registret,
- vem som är personuppgiftsansvarig,
- hur länge uppgifterna sparas,
- rätten till rättelse av uppgifterna,
- rätten till information om till vilka forskningsprojekt som uppgifter om den registrerade har lämnats ut samt rätten till information enligt 26 § personuppgiftslagen,
- vilken myndighet som har tillsyn över att lagen följs,
- rätten till skadestånd, och
- rätten att få uppgifter utplånade.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: En majoritet av remissinstanserna har inget att invända mot förslaget.
Stockholms universitet anser att man i lagen bör utgå från att det redan inledningsvis ställs en fråga huruvida personen samtycker till att man påför uppgifter i framtiden. En detaljreglering som nödvändiggör kontakter med varje person som ingår i studien varje gång en ny uppgift ska läggas in i databasen är enligt universitetet knappast önskvärd eller nödvändig ur personens synpunkt och administrativt orimlig. Den dataansvarige kan på sin hemsida redovisa vilka uppgifter som planeras läggas till eller som har lagts till databasen och därvid ge individerna möjlighet att begära utdrag och ge uttryck för deras eventuella tvekan till åtgärden. Enligt universitetet bör etikprövningsnämnderna få till uppgift att pröva om uppdateringar av databasen är i enlighet med det lämnade samtycket.
Umeå universitet anser att förslaget innebär ett komplicerat och omfattande informerat samtycke som kan ge personen som medverkar i ett register eller en biobank en känsla av misstänksamhet och att forskaren eller myndigheten vill friskriva sig från ansvar.
Skälen för regeringens förslag: Som framgår av avsnitt 5.1 och 5.5 är det viktigt att uppgifter endast får samlas in för registrering i ett register enligt den föreslagna lagen efter ett uttryckligt samtycke av den enskilde. Den enskilde måste få tillräckligt mycket information för att kunna avgöra vilka integritetsrisker som är förknippade med att lämna eller på annat sätt medverka till uppgifter i syfte att uppgifterna ska registreras i ett register som förs enligt den föreslagna lagen, så att den enskilde kan avgöra om denne vill medverka eller inte.
Mot denna bakgrund bör den enskilde informeras om för vilka ändamål behandling kan ske och vilka uppgifter som får registreras. Det innebär att den enskilde bl.a. ska informeras om att uppgifter som denne lämnar eller på annat sätt medverkar till för registrering endast kommer att få lämnas ut till sådana forskningsprojekt som dels avser vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, dels har godkänts vid en prövning enligt etikprövningslagen, dels bedrivs av en myndighet. Den enskilde ska vidare informeras om att endast sådana uppgifter som inte är direkt hänförliga till den enskilde kommer att lämnas ut till sådana forskningsprojekt, men att uppgifterna kan vara försedda med löpnummer i syfte att uppgifterna ska kunna uppdateras inom ramen för ett forskningsprojekt. Den enskilde ska även informeras om att en s.k. kodnyckel (se avsnitt 5.4) kan komma att lämnas ut till andra registerförande myndigheter i syfte att dessa ska kunna lämna uppgifter om samma personer till sådana etikgodkända forskningsprojekt som har fått uppgifter från nu aktuellt register, i syfte att uppgifterna från de olika registren ska kunna sambearbetas i forskningsprojekten. När det gäller andra uppgifter än sådana som den enskilde själv lämnar eller annars medverkar till i syfte att de ska registreras anser regeringen, som framgår av avsnitt 5.5, att det bör räcka att den enskilde, efter att ha fått information om vilka kategorier av uppgifter det är fråga om, uttryckligen samtycker till att uppgifterna inhämtas för att de ska få inhämtas och registreras. Sådan information bör, om den inte lämnas varje gång sådana uppgifter inhämtas, även avse med vilken periodicitet uppgifterna inhämtas för uppdatering. Som framgår av avsnitt 5.5 innebär dock kravet på ett uttryckligt samtycke att den registrerade, om han eller hon så önskar, kan begära att även få ta del av de efterfrågade uppgifterna innan samtycke ges. Den enskilde bör vidare informeras om för vilka sekundära ändamål uppgifterna kan komma att behandlas.
Den enskilde ska vidare upplysas om att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis. Det bör vidare lämnas information om hur länge uppgifterna sparas. I sistnämnda avseende räcker det att upplysa om innebörden av den gallringsbestämmelse som har föreslagits i avsnitt 5.6.
I övrigt bör den enskilde upplysas om vilka sekretess- och säkerhetsbestämmelser som gäller för registret, vilka rättigheter den enskilde har, vem den personuppgiftsansvarige är, så att den enskilde vet vem han eller hon ska vända sig till om han eller hon vill utnyttja sina rättigheter, samt viken myndighet som har tillsyn över att lagen följs, för det fall den enskilde vill vända sig dit.
Umeå universitet anser att förslaget innebär ett komplicerat och omfattande informerat samtycke som kan ge personen som medverkar i ett register eller en biobank en känsla av misstänksamhet och att forskaren eller myndigheten vill friskriva sig från ansvar. Regeringen delar inte denna uppfattning. Med de justeringar som regeringen har gjort i förhållande till det i promemorian lämnade förslaget till informationsskyldighet anser regeringen att omfattningen av den information som ska lämnas till den enskilde är tillräcklig för att den enskilde ska få en god bild av vad han eller hon samtycker till, samtidigt som en sådan ohanterlig informationsbörda som vissa remissinstanser har befarat undviks.
Det har inte ansetts nödvändigt att föreskriva att informationen och samtycket ska lämnas skriftligen, men det kan antas att de personuppgiftsansvariga, som har bevisbördan för att information och samtycke lämnats, ändå väljer skriftlig form.
5.7.2 Underåriga
5.7.2.1 Allmänt om underåriga
Regeringens bedömning: Det behövs inte någon bestämmelse om vem som ska företräda den registrerade om han eller hon är underårig.
Promemorians förslag: Överensstämmer inte med regeringens bedömning. I promemorian föreslås att om den registrerade är en underårig som inte har uppnått en sådan ålder och mognad att han eller hon kan ta ställning till frågor om behandling av personuppgifter och provtagning avses med den registrerade, vid tillämpningen av den föreslagna lagen, i stället den underåriges vårdnadshavare i den utsträckning den underårige inte själv, efter samtycke från vårdnadshavaren, lämnar uppgifter, medverkar till upptagningar och genomgår undersökningar.
Remissinstanserna: En majoritet av remissinstanserna har inget att invända mot förslaget.
Göteborgs universitet anser att regeln är ändamålsenlig men i det närmaste så självklar att den kan utgå. Frågan regleras i det allmänna regelverket och det räcker.
Justitiekanslern (JK) ifrågasätter om en ordning som innebär att det ska vara vårdnadshavaren som lämnar samtycke, lämnar uppgifter och medverkar till upptagningar m.m. är förenlig med dataskyddsdirektivet. JK ifrågasätter vidare om inte förslagen från utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, socialtjänst och forskning som ska redovisas senast den 1 april 2014 borde inväntas.
Skälen för regeringens bedömning: Ett barns vårdnadshavare har enligt föräldrabalken rätt och skyldighet att bestämma i barnets personliga angelägenheter (6 kap. 11 § föräldrabalken). Barnets vårdnadshavare ska i takt med barnets stigande ålder och utveckling ta allt större hänsyn till barnets synpunkter och önskemål. Står barnet under vårdnad av två vårdnadshavare utövas vårdnaden av dem tillsammans (6 kap. 13 § föräldrabalken).
Med den registrerade avses enligt 3 § personuppgiftslagen den som en personuppgift avser (jfr artikel 2 a dataskyddsdirektivet). Enligt 10 § personuppgiftslagen är behandling av personuppgifter tillåten bara under vissa förutsättningar. En sådan är att den registrerade har lämnat sitt samtycke till behandlingen. Den som faktiskt kan tillgodogöra sig information och som faktiskt kan avge en frivillig viljeyttring kan lämna ett rättsligt giltigt samtycke. Frågan om när någon har uppnått sådan ålder och mognad att han eller hon förstår vad samtycket innebär får avgöras med beaktande av omständigheterna i varje särskilt fall. Föräldrar och andra ställföreträdare har antagits kunna lämna samtycke för den som inte kan bli informerad eller avge en viljeyttring (SOU 1997:39 s. 342, jfr Öman och Lindblom, Personuppgiftslagen - en kommentar, 4:e uppl. s. 109). Datainspektionen har ansett att den som fyllt 15 år normalt är kapabel att själv ta ställning till samtyckesfrågan (Datainspektionen informerar - Samtycke enligt personuppgiftslagen s. 12).
Personuppgiftslagen innehåller alltså inte någon särskild reglering som tar sikte på underåriga. Det finns ytterligare exempel på registerförfattningar som innehåller bestämmelser enligt vilka en viss behandling av personuppgifter förutsätter den registrerades samtycke för att vara tillåten, men som inte innehåller någon särskild reglering om samtycke som tar sikte på underåriga. Sådana exempel är patientdatalagen (2008:355) och lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering.
I lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) finns det däremot en uttrycklig reglering om samtycke när det gäller underåriga dels när det gäller lämnande av vävnadsprover (3 kap. 2 § och 5 kap. 3 § biobankslagen), dels när det gäller registrering av personuppgifter i PKU-registret (5 kap. 7 § andra stycket). Enligt den förstnämnda bestämmelsen får vävnadsprover från en underårig inte samlas in och bevaras i en biobank utan att den underåriges vårdnadshavare har informerats om avsikten och om det eller de ändamål för vilka biobanken får användas och därefter lämnat sitt samtycke. Om den underåriga har uppnått en sådan ålder och mognad att han eller hon kan ta ställning till frågan gäller vad som sagts den underårige själv.
Ett annat exempel är lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen), som innehåller en uttrycklig reglering om underårigas samtycke till forskning (18 §).
I promemorian föreslås en bestämmelse som reglerar vem som avses med den registrerade när det är fråga om underåriga. Av bestämmelsen framgår också vad som ska gälla i fråga om samtycke när det är fråga om underåriga. Majoriteten av remissinstanserna, bl.a. Datainspektionen har inte haft någon invändning mot promemorians lagförslag i denna del. Enligt regeringens bedömning motsvarar promemorians förslag i sak det som ändå gäller enligt personuppgiftslagen i fråga om samtycke när den registrerade är underårig. Detta har också påpekats av Göteborgs universitet, som anser att bestämmelsen är så självklar att den kan utgå. Regeringen delar universitets uppfattning att det inte behövs någon särskild bestämmelse om vad som ska gälla om den registrerade är underårig.
JK ifrågasätter om inte förslagen från utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, socialtjänst och forskning borde inväntas. Regeringen konstaterar att den särskilde utredarens förslag enligt direktiven (dir. 2012:72 s. 15) inte bör omfatta underåriga, men att utredaren dock ska överväga om det, av tydlighetsskäl, finns behov av att i den sektorsspecifika lagstiftningen erinra om vad som gäller enligt föräldrabalken beträffande samtycke för underåriga. Regeringen anser inte att det finns behov av att införa en sådan erinran i den nu föreslagna lagen.
5.7.2.2 Information till den registrerade när han eller hon fyller 18 år
Regeringens bedömning: Om en registrerad som fyllt 18 år inte dessförinnan själv har fått information om eller samtyckt till registreringen av uppgifter om honom eller henne, får ytterligare uppgifter inte samlas in utan att den registrerade har informerats och uttryckligen samtyckt till detta. Detta följer av det föreslagna regelverket och det behövs ingen särskild bestämmelse om det.
Promemorians förslag: Överensstämmer inte med regeringens bedömning. I promemorian föreslås att om en registrerad som var underårig när uppgifter lämnades eller upptagningar eller undersökningar gjordes inte själv har fått information före 18 års ålder, ska informationen lämnas till den registrerade själv inom två år från det att han eller hon har fyllt 18 år. Information behöver enligt förslaget dock inte lämnas om myndigheten inte med rimliga ansträngningar kan nå den registrerade.
Remissinstanserna: En majoritet av remissinstanserna har inget att invända mot förslaget.
Datainspektionen anser att det är tveksamt om uppgifter som samlats in med stöd av vårdnadshavares samtycke kan fortsätta behandlas med stöd av detta samtycke när den registrerade är myndig och vårdnadshavare inte längre är behöriga att samtycka för de registrerades räkning. Det bör krävas ett samtycke av den registrerade för att fortsätta behandla uppgifterna när den registrerade blir myndig. Datainspektionen och Statens medicinsk-etiska råd anser att det inte bör gå att behandla uppgifter om enskilda som registrerats med stöd av vårdnadshavares samtycke om den personuppgiftsansvariga inte kan nå de registrerade när denne blir myndig och lämna information om registreringen. Detta eftersom den registrerade i dessa fall inte kan utnyttja det integritetsskydd, t.ex. rätten till rättelse, rätten till registerutdrag och rätten till utplånande av uppgifter, som enligt förslaget är en förutsättning för att registrering ska få ske.
Skälen för regeringens förslag: Av avsnitt 5.7.1.1 framgår att för en underårig som inte har uppnått en sådan ålder och mognad att han eller hon kan ta ställning till frågan om behandling av personuppgifter är det vårdnadshavarna som ska informeras och lämna samtycke. Eftersom den som har fyllt 15 år normalt är kapabel att själv ta ställning till samtyckesfrågan har i regel en registrerad som fyllt 18 år fått information och själv samtyckt till personuppgiftsbehandlingen före sin 18-årsdag.
Datainspektionen anser att det är tveksamt om uppgifter som samlats in med stöd av vårdnadshavares samtycke kan fortsätta behandlas med stöd av detta samtycke när den registrerade är myndig och vårdnadshavare inte längre är behöriga att samtycka för de registrerades räkning. Det bör enligt inspektionen krävas ett samtycke av den registrerade för att fortsätta behandla uppgifterna när den registrerade blir myndig. Datainspektionen och Statens medicinsk-etiska råd anser att det inte bör gå att behandla uppgifter om enskilda som registrerats med stöd av vårdnadshavares samtycke om den personuppgiftsansvariga inte kan nå de registrerade när denne blir myndig och lämna information om registreringen. Detta eftersom den registrerade i dessa fall inte kan utnyttja det integritetsskydd, t.ex. rätten till rättelse, rätten till registerutdrag och rätten till utplånande av uppgifter, som enligt förslaget är en förutsättning för att registrering ska få ske.
Information ska enligt den föreslagna lagen lämnas före det att ett uttryckligt samtycke inhämtas. Regeringen gör bedömningen att ett uttryckligt samtycke som har lämnats av vårdnadshavarna för en underårigs medverkan i registren och som inte har återkallats av föräldrarna eller den underårige är giltigt även efter det att den registrerade har fyllt 18 år (jfr Öman och Lindblom, Personuppgiftslagen - en kommentar, 4:e uppl. s. 109). Regeringen anser därför att en sådan bestämmelse som föreslås i promemorian inte är nödvändig. Efter den registrerades 18 års-dag får dock naturligtvis inte ytterligare uppgifter om den registrerade samlas in utan att den enskilde såväl informerats som uttryckligen samtyckt till behandling av sådana uppgifter. Den registrerade kan vidare utnyttja alla sina rättigheter beträffande de tidigare insamlade uppgifterna, t.ex. rätten att begära att de ska utplånas. Några särskilda bestämmelser om detta behöver dock inte införas i lagen, utan det följer av de övriga bestämmelser som regeringen har föreslagit.
5.7.3 Information om utlämnande av uppgifter till forskningsprojekt och rätten att få personuppgifter utplånade
Regeringens förslag: Den registrerade ska ha rätt att på begäran få information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut.
Den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar utplåning av uppgifter om till vilka forskningsprojekt uppgifter om den registrerade har lämnats ut, ska detta särskilt anges.
Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes utplåna uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den registrerade inte har begärt utplåning även av uppgifterna om till vilka forskningsprojekt som uppgifter om honom eller henne har lämnats ut, ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den registrerade även har rätt att begära att få dem utplånade.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. Enligt promemorian ska den personuppgiftsansvarige för varje registrerad föra anteckningar om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut.
Remissinstanserna: En majoritet av remissinstanserna har inget att invända mot förslaget.
Skåne läns landsting har anfört att om anteckningar om vilka forskningsprojekt som uppgifterna lämnats ut till ska fylla någon funktion måste rimligen även samtliga uppgifter som identifierar personen ifråga kvarstå i registret oaktat en begäran om utplåning. Skåne läns landsting ifrågasätter att utplåning av uppgifter i registret verkligen görs om det fortfarande sparas väsentlig information på individnivå.
Svenska Journalistförbundet anser att möjligheten för den enskilde att få sina uppgifter raderade är viktig ur integritetssynpunkt men att det innebär att innehållet i registren därmed inte hålls intakt och att man aldrig kan gå tillbaka och granska en forskares underlag, t.ex. vid utredningar om forskningsfusk, eftersom uppgifter kan ha raderats i mellantiden, tillsammans med uppgifterna om vilka forskningsprojekt de lämnats ut till. Centrala etikprövningsnämnden påpekar att den enskilde kan begära att få sina uppgifter i registret utplånade, men att de uppgifter som redan har skickats iväg för forskningsändamål kommer att finnas kvar där. Det innebär att det fortfarande finns möjligheter att kontrollera de uppgifterna i ett forskningsprojekt. Uppsala universitet har anfört att det är sällsynt att någon begär att få sina uppgifter utplånade i den nu aktuella typen av studier.
Göteborgs universitet anser att förslaget innebär en stor administrativ omgång för varje universitet och högskola som har upprättat en forskningsdatabas i enlighet med den nya lagen och ifrågasätter det egentliga syftet och nyttan med en sådan ordning.
Skälen för regeringens förslag: Behandlingen av personuppgifter i register som förs med stöd av den föreslagna lagen ska, som redan har nämnts, vila på frivillig grund. Därför bör den registrerade alltid ha rätt att på begäran få uppgifter i registret om honom eller henne utplånade. För att säkerställa att det är rätt person som gör begäran bör den vara skriftlig och undertecknad av den registrerade själv. Det motsvarar vad som gäller för att få ett s.k. registerutdrag enligt 26 § personuppgiftslagen.
De uppgifter om den registrerade som den personuppgiftsansvarige redan har lämnat ut för viss forskning har den personuppgiftsansvarige däremot inte längre någon kontroll över. Godkännandet vid etikprövningen av behandlingen av personuppgifter i det mottagande forskningsprojektet kan dock ha förenats med bl.a. villkor om strykningsrätt så att den registrerade efter begäran hos forskningshuvudmannen kan få uppgifterna utplånade (prop. 2007/08:44 s. 26). Det är därför viktigt att den registrerade kan få reda på för vilka forskningsprojekt som uppgifter om honom eller henne har lämnats ut.
I promemorian föreslås att den personuppgiftsansvarige för varje registrerad ska föra anteckningar om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut samt att den personuppgiftsansvarige ska vara skyldig att på begäran av den registrerade lämna ut dessa anteckningar till honom eller henne. Det föreslås vidare att sådana anteckningar får registreras. Förslaget kan tolkas som att anteckningarna måste föras på individnivå. Regeringen anser att det väsentliga i förslaget är att den enskilde har rätt att på begäran få information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut samt att det är detta som bör komma till uttryck i lagtexten. Regeringen anser att den personuppgiftsansvarige själv bör få avgöra på vilket sätt uppgifter bör registreras för att kunna tillgodose denna rättighet.
Skåne läns landsting har anfört att om anteckningar om vilka forskningsprojekt som uppgifterna lämnats ut till ska fylla någon funktion måste rimligen även samtliga uppgifter som identifierar personen ifråga kvarstå i registret trots en begäran om utplåning. Regeringen delar inte denna uppfattning. Förslaget, såväl i promemorian som i propositionen, innebär att om en registrerad, som har begärt att uppgifter om honom eller henne i registret ska utplånas, särskilt begär det ska även uppgifter om till vilka forskningsprojekt som uppgifter om honom eller henne har lämnats ut, utplånas. Vid en begäran om utplåning ska vidare den personuppgiftsansvarige vara skyldig att inom två månader från det att begäran gjordes dels utplåna uppgifterna, dels sända den registrerade en bekräftelse på att så har skett. Om den registrerade inte särskilt har begärt att även uppgifter om till vilka forskningsprojekt som uppgifter om honom eller henne har lämnats ut ska utplånas, ska en kopia på dessa uppgifter bifogas till bekräftelsen med en påminnelse om att den registrerade även har rätt att få dessa utplånade.
Bestämmelserna om utplånande är sådana bestämmelser om gallring som enligt 10 § tredje stycket arkivlagen tar över skyldigheten enligt den lagen att bevara allmänna handlingar. Bestämmelserna innebär att de registrerade uppgifterna ska förstöras så att de inte går att återskapa. Det är således inte tillåtet att t.ex. skriva ut datalagrade uppgifter och spara dessa på papper och sedan förstöra det datalagrade.
Svenska Journalistförbundet anser att möjligheten för den enskilde att få sina uppgifter raderade är viktig ur integritetssynpunkt men att det innebär att innehållet i registren därmed inte hålls intakt och att man aldrig kan gå tillbaka och granska en forskares underlag, t.ex. vid utredningar om forskningsfusk, eftersom uppgifter kan ha raderats i mellantiden, tillsammans med uppgifterna om till vilka forskningsprojekt de har lämnats ut. Som Uppsala universitet har anfört är det sällsynt att någon begär att få sina uppgifter utplånade i nu aktuell typ av studier. De nu aktuella registren kommer vidare att föras med samtycke och det är därför sannolikt att bortfallet i registret inte blir särskilt stort. Den typ av forskning som kommer att använda sig av de aktuella registren bygger vidare sina slutsatser på ett stort befolkningsunderlag och bortfall av enstaka individer lär knappast påverka utfallet av resultatet.
Mot denna bakgrund anser regeringen att övervägande skäl talar för att integritetsintresset bör få företräde framför insynsintresset och att en registrerad bör ha en rätt att få uppgifter om honom eller henne utplånade.
Vid ett eventuellt framtida överlämnande av uppgifter från registret till en arkivmyndighet övergår hela ansvaret för materialet till arkivmyndigheten. Detta följer av 9 § tredje stycket arkivlagen. Detta innebär att arkivmyndigheten även måste hantera en eventuell begäran av den registrerade att utplåna dennes personuppgifter.
5.8 Underrättelseskyldighet
Regeringens bedömning: Det bör inte finnas en skyldighet för den personuppgiftsansvarige att lämna information till den enskilde om hans eller hennes hälsotillstånd.
Promemorians förslag: Överensstämmer inte med regeringens bedömning. I promemorian föreslås att om det vid behandling av personuppgifter enligt den föreslagna lagen kan antas att en underrättelse krävs för att en registrerad ska få nödvändig förebyggande åtgärd, vård eller sjukdomsbehandling för ett allvarligare sjukdomstillstånd, ska den personuppgiftsansvarige genast lämna en sådan underrättelse till den registrerade.
Remissinstanserna: En majoritet av remissinstanserna har inget att invända mot förslaget.
Umeå universitet anser att förslaget om underrättelseskyldighet innebär en radikal avvikelse från det som har varit etablerad internationell forskningspraxis, och där det uppfattas som oetiskt att forskare direkt kontaktar personer som i annat syfte donerat blodprover eller fyllt i frågeformulär. Universitetet anser vidare att handläggningen av denna typ av ärende rimligen är en fråga för ansvarig läkare, etikprövningsnämnd eller ansvarig forskare att ta ställning till och verkställa.
Göteborgs universitet påminner om att universitetet inte står under sjukvårdshuvudmannens lagstiftning och inte heller kan utkrävas ansvar i enlighet med de ansvarsbestämmelser som tillkommer sjukvårdshuvudmannen. Universitetet menar att det, mot bakgrund av att det är den personuppgiftsansvarige som har bevisbördan i vad mån underrättelseskyldigheten har fullgjorts, måste framgå vad som menas med "allvarligare" sjukdomstillstånd.
Cancerfonden anser att information om oväntad sjukdom är en forskningsetiskt kontroversiell fråga, i synnerhet när den som får underrättelseskyldigheten inte själv representerar hälso- och sjukvården. Lagförslagets definition av begreppet "allvarliga sjukdomstillstånd" som "tillstånd som kan leda till en mer påtaglig sänkning av livskvaliteten" leder enligt Cancerfonden till gränsdragningsproblematik, eftersom vi alla bär på en mer eller mindre uttalad t.ex. genetisk mottaglighet för sådana tillstånd. Cancerfonden finner det dessutom oklart i vilken mån denna underrättelseskyldighet "följer med" data från registret även vid senare bruk av forskare inom forskningsprojekt. Cancerfonden undrar om graden av underrättelseskyldighet i stället för att vara absolut skulle kunna regleras eller specificeras i det underliggande samtycket.
Statens medicinsk-etiska råd frågar när, hur och av vem avvikande värden ska hanteras. Det kan vara problematiskt att det är den personuppgiftsansvarige som ska skicka ett sådant meddelande till en enskild person. Statens medicinsk-etiska råd lyfter också frågor kring underrättelseskyldighet när det gäller underåriga som inte har fått information om att de finns registrerade eller när det handlar om sjukdomar som det i dag inte finns behandling för.
Skälen för regeringens bedömning: Promemorian innehåller ett förslag om en underrättelseskyldighet för den personalansvarige i förhållande till den registrerade, om det vid personuppgiftsbehandlingen kan antas att en underrättelse krävs för att den registrerade ska få nödvändig förebyggande åtgärd, vård eller sjukdomsbehandling för ett allvarligare sjukdomstillstånd. Vissa remissinstanser har ifrågasatt att en sådan underrättelse ska lämnas av den personuppgiftsansvarige. Umeå universitet menar att det i stället är en fråga för ansvarig läkare, etikprövningsnämnd eller ansvarig forskare att ta ställning till och verkställa.
Register som kommer att föras enligt den föreslagna lagen kommer att innehålla en stor mängd uppgifter om de registrerades hälsotillstånd. Det kommer att vara fråga om uppgifter som den enskilde själv lämnat, men det kan också vara fråga om uppgifter som kommit fram vid undersökningar och upptagningar eller vid senare analys av dessa. Det kommer bl.a. att vara information som normalt förekommer vid vanliga hälsoundersökningar, t.ex. kostvanor, blodtryck, syn och hörsel. Dessutom kommer vissa resultat från genetiska analyser att kunna registreras under förutsättning att regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om det. Det innebär att många uppgifter i registret är av sådan art att den enskilde normalt kan få samma information vid en hälsoundersökning inom hälso- och sjukvården. Det får förutsättas att de nu aktuella undersökningarna, även om de utförs utanför hälso- och sjukvården, utförs av legitimerad hälso- och sjukvårdspersonal, samt att den som utför undersökningen, om den så anser befogat, kommer att föra en dialog med den registrerade om undersökningens resultat. De resultat som förs in i registret vid ett senare tillfälle efter genomgången analys kommer att finnas tillgängliga för den enskilde som har möjlighet att begära ut sina uppgifter ur registren. Regeringen instämmer i den kritik som riktats mot förslaget om en underrättelseskyldighet för den personuppgiftsansvarige i förhållande till den registrerade och anser att en sådan skyldighet inte bör införas.
5.9 Skadestånd
Regeringens förslag: Bestämmelserna i personuppgiftslagen om skadestånd ska tillämpas på motsvarande sätt i fråga om behandling av personuppgifter som har skett i strid med den föreslagna lagen.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Ingen remissinstans har kommenterat förslaget.
Skälen för regeringens förslag: På det sätt som är brukligt i särskilda registerförfattningar bör det i den föreslagna lagen föreskrivas att bestämmelserna i personuppgiftslagen om skadestånd ska tillämpas i fråga om behandling av personuppgifter som har skett i strid med den föreslagna lagen. Skadeståndsansvaret enligt 48 § personuppgiftslagen gäller nämligen endast för behandling av personuppgifter i strid med personuppgiftslagen. Bestämmelsen i den föreslagna lagen bör, i likhet med bestämmelsen om rättelse och av motsvarande skäl som har angivits i avsnitt 5.6, formuleras på ett sådant sätt som Lagrådet har föreslagit.
Lagrådet har vidare ställt sig till frågande till om det inte bör göras ett undantag för bestämmelsen om jämkning i 48 § andra stycket personuppgiftslagen med hänsyn till den mycket känsliga karaktären hos de register som avses i den föreslagna lagen. Regeringen konstaterar att det finns ett flertal särskilda registerförfattningar som reglerar behandling av känsliga personuppgifter där personuppgiftslagens bestämmelser om skadestånd har gjorts tillämpliga på behandling av personuppgifter i strid med den särskilda registerförfattningen, utan att jämkningsbestämmelsen har undantagits. Jämkningsbestämmelsen är vidare mycket strängt utformad, strängare än vad som krävs enligt det s.k. dataskyddsdirektivet (95/46/EG) som ligger till grund för personuppgiftslagen. Jämkningsbestämmelsen lämnar således bara utrymme för jämkning när den personuppgiftsansvarige kan visa att det inte är dennes fel att uppgifterna har behandlats i strid med lagen och endast i den utsträckning det är skäligt. Mot denna bakgrund anser regeringen att det inte bör göras undantag från denna bestämmelse.
6 Sekretess
6.1 Offentlighetsprincipen och sekretessregleringen
Offentlighetsprincipen och offentlighets- och sekretesslagen
I register som kommer att föras enligt den lag som föreslås i avsnitt 5 kan bl.a. uppgifter om mat- och motionsvanor, sjukdomar, hälsotillstånd i övrigt samt genetisk information föras in. Det är alltså fråga om sådana personuppgifter som typiskt sett är av mycket känslig natur. Uppgifterna kommer att finnas i register hos myndighet och därmed blir bestämmelserna om rätten att ta del av allmänna handlingar i 2 kap. tryckfrihetsförordningen (TF) tillämpliga. Denna rätt får enligt 2 kap. 2 § första stycket TF endast begränsas om det är påkallat med hänsyn till vissa i paragrafen angivna intressen, bl.a. skyddet av enskildas personliga och ekonomiska förhållanden. Varje begränsning i rätten att ta del av allmänna handlingar ska enligt 2 kap. 2 § andra stycket TF anges noga i en särskild lag, varmed avses offentlighets- och sekretesslagen (2009:400, OSL).
Allmänt om sekretessbestämmelser till skydd för enskilda
I 21 kap. OSL finns det s.k. minimiskyddsbestämmelser till skydd för vissa uppgifter om enskilds personliga förhållanden oavsett i vilket sammanhang uppgifterna förekommer. Dessa bestämmelser gäller hos alla myndigheter samt hos sådana enskilda organ som enligt särskilda bestämmelser i OSL ska tillämpa offentlighetsprincipen. Enligt 21 kap. 1 § OSL gäller sekretess för uppgift som rör en enskilds hälsa eller sexualliv, exempelvis uppgifter om sjukdomar och missbruk. Sekretessen gäller om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Det gäller således en stark offentlighetspresumtion för uppgifterna.
Minimiskyddsbestämmelserna i 21 kap. kompletteras av sekretessbestämmelser i 22-40 kap. OSL som ger uppgifter om enskildas personliga och ekonomiska förhållanden ett starkare sekretesskydd. Dessa bestämmelser har i gengäld begränsad räckvidd och gäller bara i vissa typer av ärenden, hos vissa myndigheter etc. Sekretessbestämmelserna i 22-40 kap. OSL har utformats efter en avvägning mellan dels intresset av sekretess för uppgifter om enskildas personliga och ekonomiska förhållanden, dels intresset av insyn i myndigheters olika verksamheter. Om en verksamhet innefattar myndighetsutövning brukar insynsintresset vara stort. När det är fråga om sådana verksamheter är huvudprincipen att uppgifter om enskildas personliga eller ekonomiska förhållanden som förekommer i verksamheten är offentliga och att sekretess bara ska gälla för sådana uppgifter, om det kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs. Om det är fråga om uppgifter som har lämnats till en myndighet i förtroende, vilket det ofta är fråga om när det t.ex. gäller hälso- och sjukvård eller forskning, brukar sekretessbestämmelserna i stället utformas så att uppgifterna omfattas av sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men dvs. presumtionen är i dessa fall att uppgifterna omfattas av sekretess. Eftersom presumtionen i det första fallet är att uppgifterna är offentliga, medan presumtionen i det andra fallet är omvänd, dvs. att uppgifterna omfattas av sekretess, brukar de förstnämnda sekretessbestämmelserna sägas vara försedda med raka skaderekvisit, medan de sistnämnda sekretessbestämmelserna brukar sägas vara försedda med omvända skaderekvisit. Sekretessen enligt en bestämmelse kan också vara absolut. En sådan bestämmelse är inte försedd med något skaderekvisit och det ska därför inte göras någon skadeprövning om en uppgift begärs ut, utan sekretessen gäller så länge inte någon sekretessbrytande regel är tillämplig (se vidare nedan).
Finns det någon sekretessbestämmelse som är tillämplig på verksamhet enligt den föreslagna lagen?
I 24 kap. OSL finns det bestämmelser om sekretess till skydd för enskild inom forskning och statistik. Bestämmelserna gäller bl.a. för uppgifter, som är hänförliga till psykologiska undersökningar som utförs för forskningsändamål (1 §), i verksamhet som avser förande av eller uttag ur register som förs enligt lagen om rättspsykiatriskt forskningsregister (2 §), i verksamhet som består i etikprövning och tillsyn enligt lagen om etikprövning av forskning som avser människor (3 §) samt i upptagningar som har dialektologiskt eller etnologiskt innehåll och som har gjorts eller anskaffats för vetenskapligt ändamål (4 §). I samtliga fall gäller sekretessen med ett omvänt skaderekvisit, dvs. presumtionen är att uppgifterna omfattas av sekretess. Dessa bestämmelser omfattar dock inte sådan verksamhet som ska regleras i den föreslagna lagen.
Enligt 24 kap. 8 § OSL gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Till skillnad från sekretessbestämmelserna i 24 kap. 1-4 §§ till skydd för uppgifter om enskilda i viss forskning är den s.k. statistiksekretessen inte försedd med något skaderekvisit utan sekretessen är absolut. Motsvarande sekretess gäller i annan med statistik jämförbar undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen eller, i den utsträckning regeringen meddelar föreskrifter om det, av någon annan myndighet. Sådana föreskrifter har meddelats i 7 § offentlighets- och sekretessförordningen (2009:641, OSF).
Som exempel på verksamhet som omfattas av statistiksekretessen kan s.k. hälsodataregister nämnas. Som nämnts i avsnitt 4.2.2 är sådana register enligt 3 § lagen (1998:543) om hälsodataregister avsedda att användas för dels framställning av statistik, dels uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård, dels forskning och epidemiologiska undersökningar. Enligt 7 § OSF gäller vidare motsvarande sekretess bl.a. hos sjukvårdsinrättningar, utbildningsanstalter och forskningsinrättningar för miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier.
Enligt en sekretessbrytande bestämmelse i 24 kap. 8 § och en motsvarande bestämmelse i 7 § OSF kan uppgift som omfattas av absolut sekretess enligt 24 kap. 8 § OSL och 7 § OSF och som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.
De register som kommer att föras med stöd av den föreslagna lagen är inte avsedda att ligga till grund för framställning av statistik utan för forskningsprojekt av viss typ. Ett forskningsprojekt till vilka uppgifter kommer att lämnas från ett sådant register kan vara att anse som en "annan jämförbar undersökning" i den mening som avses i 24 kap. 8 § OSL. Eftersom registren inte avses ligga till grund för framställning av statistik och då verksamheten enligt lagen inte i sig kan anses utgöra en "annan jämförbar undersökning" kommer 24 kap. 8 § OSL inte att vara tillämplig på verksamhet enligt den föreslagna lagen och regeringen kommer också att sakna förutsättningar att förordna om sekretess enligt 7 § OSF för verksamheten enligt den lagen.
I 25 kap. OSL finns bestämmelser om sekretess till skydd för enskild i verksamhet som avser hälso- och sjukvård. Med hälso- och sjukvård förstås först och främst den öppna och slutna sjukvård för vilken grundläggande bestämmelser finns i hälso- och sjukvårdslagen (1982:763). Hit hör också den förebyggande medicinska hälsovården, t.ex. den som bedrivs vid mödra- och barnavårdscentralerna och inom den psykiatriska barn- och ungdomsvården. Även tandvården hör till hälso- och sjukvården. Registren som ska omfattas av den föreslagna lagen förs dock inte inom ramen för hälso- och sjukvården utan av vissa universitet och högskolor som regeringen har bestämt. Bestämmelserna om sekretess inom hälso- och sjukvården är således inte heller tillämpliga.
Enligt 25 kap. 15 § OSL gäller sekretess i verksamhet som avser screening av prover från nyfödda barn för vissa ämnesomsättningssjukdomar (PKU) och förande av eller uttag ur det register som förs i denna verksamhet enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Sekretessen gäller med ett omvänt skaderekvisit. Någon motsvarande sekretessbestämmelse som kan vara tillämplig på ett register som förs enligt den föreslagna lagen finns dock inte.
Sammanfattningsvis är det endast bestämmelsen i 21 kap. 1 § OSL som kan bli tillämplig i fråga om vissa av de uppgifter som samlas in i de avsedda registren. Som nämnts tidigare är sekretessbestämmelsen i 21 kap. 1 § försedd med en stark offentlighetspresumtion. Det är endast de allra känsligaste uppgifterna om hälsa och sexualliv som omfattas av sekretess enligt den bestämmelsen, t.ex. uppgifter om könsbyten, transsexualitet, HIV och psykiska sjukdomar i vissa fall (prop. 2005/06:161 s. 95). I övrigt finns det inte någon bestämmelse i OSL som är direkt tillämplig på verksamheten enligt den föreslagna lagen.
6.2 En ny sekretessbestämmelse
Regeringens förslag: Sekretess ska gälla i verksamhet som avser förande av eller uttag ur register enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde. Uppgift ska dock få lämnas ut i den utsträckning som framgår av den lagen. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling ska sekretessen gälla i högst sjuttio år.
Om en uppgift som omfattas av den nya sekretessbestämmelsen överförs till en annan myndighet ska sekretessbestämmelsen bli tillämplig även hos den mottagande myndigheten.
Det ska vara möjligt att bryta sekretessen vid misstanke om vissa allvarligare brott enligt vissa bestämmelser i offentlighets- och sekretesslagen.
Den tystnadsplikt som följer av sekretessbestämmelsen ska inskränka den grundlagsfästa rätten att meddela och offentliggöra uppgifter.
Promemorians förslag: Överensstämmer i huvudsak med regeringens förslag. I promemorian saknas förslag om överföring av sekretess.
Remissinstanserna: En majoritet av remissinstanserna som har yttrat sig över förslagen har inget att invända mot dem.
Datainspektionen påpekar att det i promemorian anges att utlämnande av uppgifter endast får ske till forskning som bedrivs vid en högskola eller ett universitet med staten som huvudman, men att den föreslagna regleringen innebär att utlämnade av personuppgifter till "allmänheten" t.ex. ett privat företag som bedriver forskning, får ske om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denna lider men. Den personuppgiftsansvariga myndigheten (universitetet eller högskolan) disponerar inte över ett sådant utlämnande eftersom myndighetens beslut kan överklagas till domstol.
Socialstyrelsen påpekar att den föreslagna sekretessbestämmelsen är formulerad med bestämmelsen om statistiksekretess som förebild, men att Statistikutredningen har föreslagit att sistnämnda bestämmelse ska moderniseras. Socialstyrelsen menar att detta bör beaktas vid utformningen av den nya bestämmelsen.
Svenska Journalistförbundet kan tillstyrka skillnaden mellan absolut sekretess för personuppgifter och ett omvänt skaderekvisit vid utlämnande av uppgifter som inte är hänförliga till enskilda personer eftersom det gör det möjligt att få insyn verksamheten och samtidigt värna om den personliga integriteten. Förbundet kan dock inte acceptera förslaget att rätten att meddela och offentliggöra uppgifter får vika för tystnadsplikten.
När det gäller det utkast till lagrådsremiss som vissa remissinstanser under den fortsatt beredningen har beretts tillfälle att yttra sig över (se avsnitt 3), och som i sak överensstämmer med regeringens förslag, har Svenska Journalistförbundet vidhållit att rätten att meddela och offentliggöra uppgifter inte bör vika för tystnadsplikten när det är fråga om uppgifter som inte är direkt hänförliga till enskilda.
Skälen för regeringens förslag
Avvägning mellan sekretessintresset och insynsintresset
I avsnitt 5.4 har ställning tagits för att uppgifter enligt den föreslagna lagen bara ska få lämnas ut till forskning som dels avser vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, dels bedrivs av myndigheter. Därutöver krävs för utlämnande att såväl forskningen som personuppgiftsbehandlingen har godkänts vid en prövning enligt etikprövningslagen. Vidare får endast uppgifter som inte är direkt hänförliga till den enskilde lämnas ut. Uppgifterna får dock vara försedda med löpnummer för att möjliggöra uppdatering av uppgifterna. Vidare får uppgifterna lämnas ut även för vissa andra ändamål, bl.a. utredning av oredlighet i forskning.
Att det i en registerförfattning slås fast att uppgifter bara få behandlas för vissa ändamål innebär inte att uppgifterna inte kan lämnas ut med stöd av offentlighetsprincipen. Tvärtom saknar bestämmelser om s.k. ändamålsbegränsningar i registerförfattningar relevans för bedömningen av vad som är en allmän handling (jfr prop. 2007/08:126 s. 120 f. och prop. 2007/08:160 s. 66 f.). Enligt 21 kap. 7 § OSL gäller visserligen sekretess för personuppgift, om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. Prövningen enligt denna bestämmelse ska dock inte avse om myndighetens utlämnande av uppgiften kan anses strida mot personuppgiftslagen utan endast om det kan antas att uppgiften efter utlämnandet kan komma att behandlas i strid med personuppgiftslagen (Offentlighets- och sekretesslagen - en kommentar, Lenberg, Geijer och Tansjö, s. 21:7:1, Personuppgiftslagen - en kommentar, Öman och Lindblom, 4:e uppl. s. 578). Bestämmelser om s.k. absoluta sökförbud, dvs. bestämmelser som förbjuder en myndighet att under alla omständigheter söka på vissa ord, inskränker dock handlingsbegreppet om det är fråga om en sammanställning av uppgifter ur en upptagning för automatiserad behandling (2 kap. 3 § tredje stycket tryckfrihetsförordningen, prop. 2007/08:126 s. 120 f. och prop. 2007/08:160 s. 66 f.). Några bestämmelser om absoluta sökförbud har dock inte föreslagits i nu aktuell lag. Huruvida det ska införas en sekretessbestämmelse för personuppgifter som behandlas enligt den föreslagna lagen och med vilken styrka den i så fall ska gälla ska således avgöras efter en sedvanlig avvägning mellan sekretessintresset och insynsintresset.
Uppgifter som avses att behandlas enligt den föreslagna lagen är som tidigare nämnts av integritetskänslig natur. Att enskilda frivilligt ställer upp och lämnar känsliga och privata uppgifter till ett register i syfte att uppgifterna ska användas för viss typ av forskning innebär inte att personerna vill att dessa uppgifter om t.ex. kost, livsstil, sjukdomar och hälsa i övrigt ska lämnas ut till en annan typ av forskning än vad godkännandet avser eller till envar. Med tanke på uppgifternas karaktär får sekretessintresset anses vara framträdande.
När det gäller insynsintresset finns det till att börja med ett intresse av att kunna granska den forskning som bedrivs på grundval av uppgifter från registret. De forskare som avses få tillgång till uppgifterna enligt den föreslagna lagen kommer dock inte att få del av uppgifter som är direkt hänförliga till enskilda. Den som vill granska forskningen behöver därför inte få del av andra uppgifter än de som forskaren har fått del av, dvs. uppgifter som inte är direkt hänförliga till den enskilde. Det kan vidare finnas forskare som vill använda uppgifterna för någon annan typ av forskning än vad den enskilde har samtyckt till eller som vill använda uppgifterna för forskning av den typ som den enskilde samtyckt till, men där forskningsprojektet inte har godkänts enligt etikprövningslagen. I dessa fall kan inte intresset av att ta del av uppgifterna anses väga tyngre än sekretessintresset. När det gäller allmänhetens intresse av insyn i övrigt kan noteras att uppgifterna i registret inte kommer att ha lämnats i samband med myndighetsutövning mot enskild, utan att det kommer att vara helt frivilligt att lämna uppgifter till registret. Allmänintresset av insyn i uppgifterna får därmed anses vara relativt svagt. Vid en avvägning mellan sekretessintresset och insynsintresset finner regeringen att sekretessintresset väger tyngre och att en sekretessbestämmelse bör införas.
Med vilken styrka bör sekretessen gälla?
När det gäller frågan med vilken styrka sekretessen bör gälla för uppgifter om enskildas personliga förhållanden i register som förs enligt den föreslagna lagen kan inledningsvis konstateras att, som nämnts tidigare, såväl sekretessbestämmelserna i 24 kap. OSL till skydd för uppgifter om enskilda i vissa typer av verksamhet som rör forskning som bestämmelsen i 25 kap. 15 § OSL om sekretess till skydd för uppgifter om enskilda i PKU-register enligt lagen om biobanker i hälso- och sjukvården m.m., är försedda med omvända skaderekvisit. Hälsodataregistren och en mängd studier utförda av forskningsinrättningar, bl.a. miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier, omfattas dock av absolut statistiksekretess (7 § OSF).
I de fall sekretess gäller med ett omvänt skaderekvisit är det den myndighet som förvarar uppgifterna som gör sekretessprövningen. Om uppgifterna lämnas ut av en myndighet till en annan myndighet för att användas i forskningsverksamhet överförs sekretessen dit enligt 11 kap. 3 § OSL. Bestämmelsen gäller inte om uppgifter lämnas ut till en enskild, t.ex. ett företag eller en enskild forskningsanordnare. Enligt 10 kap. 14 § OSL ska en myndighet, om den finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den, göra ett sådant förbehåll när uppgiften lämnas till den enskilde (10 kap. 14 § OSL). Genom förbehållet uppstår en tystnadsplikt som inskränker den rätt att meddela och offentliggöra uppgifter som följer av 1 kap. 1 § TF och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen (YGL). Med stöd av 10 kap. 14 § OSL kan alltså uppgifter som annars omfattas av sekretess med ett skaderekvisit lämnas till enskilda. Med enskild avses i detta sammanhang en enskild fysisk person, t.ex. en enskild forskare, inte en juridisk person eftersom sådana inte kan åläggas tystnadsplikt. Sistnämnda bestämmelse är dock inte tillämplig på bestämmelser om absolut sekretess. Om sekretessen enligt en bestämmelse är absolut kan dock lagstiftaren i särskilda sekretessbrytande bestämmelser precisera under vilka förutsättningar uppgifter ska lämnas ut.
De nu aktuella registren kommer att innehålla mycket känslig information, bl.a. genetisk information, om en stor mängd människor. Som nämnts tidigare är t.ex. projektet LifeGene tänkt att på sikt omfatta uppgifter om ca en halv miljon personer. Verksamheten avseende registren utgör inte forskning i sig utan registren ska ligga till grund för forskning. Förslaget innebär dels att uppgifter i registren endast ska få lämnas ut till en viss typ av forskning där såväl forskningen som behandlingen av uppgifterna har godkänts enligt etikprövningslagen, dels att bara personuppgifter som inte är direkt hänförliga till den enskilde ska få lämnas ut i löpnummerförsedd form. Om någon vill kontrollera forskning baserad på uppgifter från ett register som omfattas av den föreslagna lagen kan personen i fråga begära ut uppgifterna från den forskningsverksamhet där uppgifterna har använts och frågan om utlämnande får då prövas utifrån de bestämmelser som gäller i den verksamheten. En person kan även vilja begära ut uppgifter både från registret och från forskningsprojektet för att kontrollera att uppgifterna inte har förvanskats i forskningsprojektet.
Som nämnts tidigare överförs sekretess från en utlämnande myndighet till forskningsverksamheten enligt 11 kap. 3 § OSL. Vid konkurrens mellan flera tillämpliga sekretessbestämmelser är huvudprincipen att den eller de sekretessbestämmelser enligt vilka en uppgift vid en sekretessprövning är sekretessbelagd har företräde framför bestämmelser enligt vilka uppgiften ska lämnas ut (7 kap. 3 § OSL). Enligt en särskild konkurrensbestämmelse i 11 kap. 8 § OSL har dock en sekretessbestämmelse som är direkt tillämplig i en mottagande verksamhet som huvudregel företräde framför överförd sekretess. Det sagda innebär att om det införs en bestämmelse om sekretess med viss styrka i nu aktuellt register, t.ex. absolut sekretess eller sekretess med ett omvänt skaderekvisit, kommer den sekretessen att överföras till den mottagande forskningsverksamheten. Om en sekretessbestämmelse i 24 kap. OSL eller någon annan sekretessbestämmelse är direkt tillämplig i forskningsprojektet kommer dock den bestämmelsen att ha företräde framför den överförda sekretessen även om den direkt tillämpliga sekretessen är svagare än den överförda sekretessen.
Ändamålet med behandlingen av personuppgifter enligt den föreslagna lagen ska vara att skapa underlag för och lämna ut uppgifter till olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Uppgifter ska under vissa förutsättningar få lämnas ut till forskningsprojekt som omfattas av nämnda ändamål. Som framgått ovan omfattas uppgifter i miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier som utförs hos sjukvårdsinrättningar, utbildningsanstalter och forskningsinrättningar av absolut statistiksekretess (7 § OSF). Ovan nämnda konkurrensbestämmelser i OSL medför att oavsett med vilken styrka sekretessen kommer att gälla för uppgifterna i registret kommer uppgifterna att omfattas av absolut statistiksekretess i det forskningsprojekt som de lämnas till.
När det gäller skillnaden från integritetssynpunkt mellan uppgifter som är direkt hänförliga till en enskild och personuppgifter som inte är direkt hänförliga till den enskilde, men som är försedda med löpnummer, kan konstateras att sistnämnda uppgifter inte är helt okänsliga. Detta beror på risken för s.k. bakvägsidentifiering. I särskild verksamhet som avser statistik får uppgifter som inte är direkt hänförliga till den enskilde bara lämnas ut, om det står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider men (24 kap. 8 § OSL). Enligt praxis hos Statistiska centralbyrån (SCB) lämnar myndigheten inte ut sådana löpnummerförsedda uppgifter till en annan myndighet om det inte gäller statistiksekretess för uppgifterna i den mottagande verksamheten. Om en myndighet som ska utföra en med statistik jämförbar undersökning behöver uppgifter från SCB förs därför undersökningen i regel in i 7 § OSF med följd att de löpnummerförsedda uppgifterna från SCB kommer att omfattas av absolut sekretess hos den mottagande myndigheten. Som nämnts tidigare är dock såväl 24 kap. 8 § som 7 § OSF försedda med vissa sekretessbrytande bestämmelser.
Regeringen anser att en avvägning mellan sekretessintresset och insynsintresset ger vid handen att det bör finnas möjlighet att granska sådan forskning som baseras på uppgifter i register som förs enligt den föreslagna lagen samt att denna möjlighet bör åstadkommas antingen genom att uppgifter som förekommer i verksamheten enligt den föreslagna lagen omfattas av sekretess med ett omvänt skaderekvisit eller av absolut sekretess i kombination med särskilda sekretessbrytande bestämmelser.
De nu aktuella registren kommer att innehålla uppgifter av motsvarande känslighetsgrad som de uppgifter som finns såväl i PKU-registret som i de s.k. hälsodataregistren. Uppgifterna i det förstnämnda registret kan användas bl.a. i hälso- och sjukvården avseende enskilda barn och i klinisk forskning och utveckling samt omfattas, i likhet med hälso- och sjukvårdssekretessen av sekretess med ett omvänt skaderekvisit. Uppgifter i hälsodataregistren, som inte är avsedda att användas i enskilda vårdfall, utan för bl.a. statistik och forskning, omfattas av absolut statistiksekretess. När uppgifterna i register som omfattas av den nu föreslagna lagen lämnas över för forskning kommer, som ovan har konstaterats, uppgifterna att omfattas av statistiksekretess hos forskningsinrättningen. Regeringen anser inte att det är motiverat att uppgifter om enskildas personliga förhållanden i ett register som har konstruerats för att ligga till grund för viss forskning ska omfattas av ett svagare skydd i registret än vad uppgifterna har i forskningsverksamheten som sådan. Sekretesskyddet för uppgifter om enskilds personliga förhållanden i register enligt den föreslagna lagen bör således utformas med 24 kap. 8 § OSL som förebild. Det innebär att uppgifter som är hänförliga till den enskilde bör omfattas av absolut sekretess. Det bör vidare införas sekretessbrytande bestämmelser. Sekretessen bör inte hindra dels att uppgifter lämnas ut enligt vad som framgår av den föreslagna lagen (se avsnitt 5.4), dels att uppgifter som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Detta tillgodoser då behovet av granskning, dels genom att utlämnande av uppgifter enligt den föreslagna lagen får ske för utredning av oredlighet i sådan forskning som avses i lagen och avgivande av yttrande i samband med sådan utredning och dels genom att utlämnande av uppgifter som inte är direkt hänförliga till den enskilde kan komma att ske i andra fall efter en sekretessprövning.
Datainspektionen påpekar att det i promemorian anges att utlämnande av uppgifter endast får ske till forskning som bedrivs vid en högskola eller ett universitet med staten som huvudman, men att den föreslagna regleringen innebär att utlämnande av personuppgifter till "allmänheten" t.ex. ett privat företag som bedriver forskning, får ske om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denna lider men. Den personuppgiftsansvariga myndigheten (universitetet eller högskolan) disponerar inte över ett sådant utlämnande eftersom myndighetens beslut kan överklagas till domstol.
Som nämnts ovan ska vid överväganden i frågorna om en sekretessbestämmelse ska införas och hur den i så fall ska utformas avvägningen mellan sekretessintresset och insynsintresset göras på sedvanligt sätt. Som framgått tidigare omfattas medicinska studier i dag av en sekretessbestämmelse som har motsvarande styrka och kompletteras av motsvarande sekretessbrytande bestämmelser som regeringen föreslår ska gälla för uppgifter i register som förs enligt den föreslagna lagen. Det innebär bl.a. att uppgifter som inte är direkt hänförliga till den enskilde kan lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Det kommer att vara upp till den myndighet som ska göra sekretessprövningen, dvs. till den registerförande myndigheten eller, efter överklagande, behörig domstol, att i varje enskilt fall göra en bedömning av om ett utlämnande kan ske. Regeringen anser inte att det finns skäl att beträffande uppgifter i register som ska föras enligt den nu föreslagna lagen införa en ännu strängare sekretessreglering än vad som gäller i medicinsk forskning som utförs av myndighet eller i statistisk verksamhet som hanteras av myndighet.
Sekretesstiden samt bestämmelsen placering och närmare utformning
Sekretesstidernas längd varierar beroende på vilket skyddsintresse som har föranlett sekretessen. När det gäller skyddet för enskildas personliga förhållande är sekretesstiden i regel maximerad till femtio eller sjuttio år (prop. 1979/80:2 Del A s. 459 och 493). Den längre sekretesstiden har motiverats med att sekretess i regel bör gälla under den enskildes livstid. Den kortare sekretesstiden gäller normalt i sådana myndighetsverksamheter som har koppling till arbetsmarknaden eftersom den enskilde i sådan verksamhet förutsätts vara vuxen (jfr t.ex. 28 kap. 11, 13 och 14 §§ OSL). Register som regleras av den föreslagna lagen kan innehålla uppgifter om såväl barn som vuxna. Sekretessen för uppgifter om enskildas personliga förhållanden bör därför gälla i högst sjuttio år.
Eftersom uppgifter i registret ska kunna användas i viss forskning bör bestämmelsen placeras i 24 kap. OSL.
Socialstyrelsen påpekar att Statistikutredningen har föreslagit att 24 kap. 8 § OSL ska formuleras om och moderniseras och menar att detta bör beaktas vid utformningen av den nya sekretessbestämmelsen.
Statistikutredningens förslag bereds för närvarande inom Regeringskansliet och regeringen har inte för avsikt att föregripa den beredningen. I förhållande till förslaget i promemorian anser dock regeringen att den nya sekretessbestämmelsen i högre grad bör anpassas till den enda bestämmelsen i 24 kap. OSL som uttryckligen avser uppgifter i register, nämligen 24 kap. 2 § OSL som reglerar sekretess till skydd för enskilda i verksamhet som avser förande av och uttag ur register som förs enligt lagen (1999:353) om rättspsykiatriskt forskningsregister.
Sekretessbrytande bestämmelser
Som nämnts tidigare ska den nya sekretessbestämmelsen förses med två sekretessbrytande bestämmelser. Sekretessen ska dels inte hindra att uppgifter lämnas ut enligt vad som framgår av den föreslagna lagen (se avsnitt 5.4), dels ska uppgifter som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde få lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.
I 10 kap. i OSL finns det ytterligare sekretessbrytande bestämmelser. Enligt generalklausulen i 10 kap. 27 § OSL får en sekretessbelagd uppgift lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Viss sekretess, som det har ansetts särskilt angeläget att upprätthålla i förhållande till andra myndigheter, bl.a. statistiksekretessen enligt 24 kap. 8 § OSL, hälso- och sjukvårdssekretessen i 25 kap. 1-8 §§ OSL och socialtjänstsekretessen i 26 kap. 1-6 §§ OSL har undantagits från generalklausulens tillämpningsområde. Sekretessen i 24 kap. OSL till skydd för enskilda i viss forskning och sekretessen till skydd för enskilda i PKU-registret har dock inte undantagits från klausulens tillämpningsområde.
I vissa fall har det ansetts viktigt att även sådan sekretess som har undantagits från generalklausulen kan brytas, bl.a. när det är fråga om misstankar om brott. När det bl.a. gäller uppgifter inom hälso- och sjukvården och socialtjänsten hindrar sekretess för uppgift i sådan verksamhet inte att uppgift lämnas till en åklagarmyndighet eller en polismyndighet om uppgiften angår misstanke om vissa brott mot unga som inte fyllt 18 år (10 kap. 21 och 22 §§ OSL). I annat fall får enligt 10 kap. 23 § OSL en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt bl.a. 24 kap. 8 §, 25 kap. 1 §, 2 § andra stycket eller 3-8 §§ eller 26 kap. 1-6 §§ samma lag lämnas till en åklagarmyndighet, polismyndighet eller annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
De uppgifter som lämnas till register enligt den föreslagna lagen är av likartat känsligt slag som uppgifter inom de ovan nämnda områdena där det ansetts särskilt angeläget att upprätthålla sekretessen i förhållande till andra myndigheter. Regeringen bedömer därför att undantag från generalklausulens tillämpningsområde bör göras när det gäller sekretessen i verksamhet enligt den föreslagna lagen. På motsvarande sätt som inom de nämnda områdena bör det dock finnas vissa möjligheter att bryta sekretessen vid misstanke om allvarligare brottslighet och bestämmelserna i 10 kap. 23 och 27 §§ OSL bör ändras i enlighet med det.
Överföring av sekretess
Som framgår av avsnitt 5.4 föreslår regeringen en bestämmelse som möjliggör för ett universitet eller en högskola som för ett register enligt den föreslagna lagen och som har lämnat ut löpnummerförsedda personuppgifter till ett etikgodkänt forskningsprojekt, att lämna ut en förteckning över registrerades löpnummer och personnummer (s.k. kodnyckel) till en annan myndighet för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till samma forskningsprojekt. Det är då inte säkert att det finns någon sekretessbestämmelse som skyddar kodnyckeln hos den mottagande myndigheten. För att skydda dessa uppgifter hos den mottagande myndigheten behövs därför införas en bestämmelse om överföring av sekretess, som innebär att den nya sekretessbestämmelsen blir tillämplig även hos den mottagande myndigheten.
Den föreslagna bestämmelsen om överföring av sekretess kommer även att bli tillämplig när utlämnande sker med stöd av de sekretessbrytande bestämmelserna i 10 kap. 23 och 27 §§ OSL.
Om uppgifter lämnas över till ett etikgodkänt forskningsprojekt kommer sekretessen enligt den föreslagna sekretessbestämmelsen att överföras både enligt den generella bestämmelsen om överföring av sekretess till forskningsverksamhet (11 kap. 3 § OSL) och enligt den nu föreslagna bestämmelsen om överföring av sekretess.
Vid konkurrens mellan sekretess som blir tillämplig på grund av den nu föreslagna bestämmelsen om överföring av sekretess och sekretess som på annan grund gäller hos den mottagande myndigheten blir huvudregeln i 7 kap. 3 § OSL om konkurrens mellan sekretessbestämmelser tillämplig. Detta innebär att den sekretessbestämmelse enligt vilka en uppgift vid en sekretessprövning är sekretessbelagd har företräde framför en sekretessbestämmelse enligt vilken uppgiften ska lämnas ut.
Sekretess inom en myndighet
Som nämnts i avsnitt 5.6 kan det gälla sekretess inom en myndighet. Vad som föreskrivs om sekretess mot andra myndigheter i 8 kap. 1 § OSL och vad som föreskrivs i andra bestämmelser i OSL om uppgiftslämnande till andra myndigheter, gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL).
En myndighet kan i en viss del av en verksamhet ha att tillämpa olika sekretessbestämmelser, t.ex. dels sekretessbestämmelser till skydd för allmänna intressen, dels sekretessbestämmelser till skydd för enskildas personliga och ekonomiska intressen. Vissa sekretessbestämmelser kan vidare av redaktionella skäl ha delats upp på flera olika paragrafer. En myndighet kan således i en viss del av verksamheten behöva tillämpa ett helt set av sekretessbestämmelser. Om olika delar av en myndighets verksamhet tillämpar sinsemellan helt olika set av sekretessbestämmelser föreligger olika verksamhetsgrenar i OSL:s mening. I förarbetena till OSL har som exempel Skatteverket nämnts. Hos Skatteverket gäller i den fiskala verksamheten, folkbokföringsverksamheten, den brottsbekämpande verksamheten respektive verksamheten med att registrera bouppteckningar sinsemellan helt olika sekretessbestämmelser. Dessa verksamheter anses därmed utgöra fyra olika verksamhetsgrenar inom Skatteverket i OSL:s mening (prop. 2008/09:150 s. 356 f.).
I detta avsnitt har det föreslagits att det ska införas en ny sekretessbestämmelse enligt vilken sekretess ska gälla i verksamhet som avser förande av och uttag ur register enligt den föreslagna lagen. Som framgått av avsnitt 5.1 anser regeringen att även det universitet eller den högskola som för ett sådant register ska kunna tillåtas använda uppgifter från registret i egna forskningsprojekt som har godkänts enligt etikprövningslagen. Som nämnts i avsnitt 5.6 är det i ett sådant fall fråga om utlämnande av uppgifter inom myndigheten, från den verksamhet som avser förande av och uttag ur registret till en verksamhet som avser ett konkret forskningsprojekt. Utlämnande ska ske under samma förutsättningar och på samma sätt som om det hade varit fråga om ett externt forskningsprojekt.
En sekretessbestämmelse som avser förande av eller uttag ur ett visst register är primärt tillämplig dvs. direkt tillämplig, hos en annan myndighet eller en annan självständig verksamhetsgren inom myndigheten bara om myndigheten eller verksamhetsgrenen har direktåtkomst till registret och endast så länge mottagaren inte har tagit ut uppgiften från registret eller använt uppgiften i sin verksamhet. Som framgått av avsnitt 5.6 är det bara de anställda och uppdragstagare hos den personuppgiftsansvariga myndigheten som ska sköta den verksamhet som avser själva hanteringen av registret, t.ex. arbetsuppgifter som innebär ett införande av uppgifter i registret eller utlämnande av uppgifter från registret, som ska få ha elektronisk åtkomst till personuppgifterna. Sådan åtkomst ska vidare begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret. Anställda eller uppdragstagare hos den personuppgiftsansvarige som arbetar med ett forskningsprojekt kommer, i likhet med utomstående som arbetar med motsvarande projekt, inte att få ha direktåtkomst till uppgifterna i registret. Den föreslagna sekretessbestämmelsen kommer således inte att vara direkt tillämplig i sådan verksamhet hos den personuppgiftsansvarige som avser ett internt forskningsprojekt. Däremot kommer den föreslagna sekretessen, på motsvarande sätt som kommer att gälla i förhållande till utomstående, att överföras till en intern verksamhet som avser ett forskningsprojekt om uppgifter från registret lämnas dit.
Om det universitet eller den högskola som för ett register enligt den föreslagna lagen också bedriver sådan forskning till vilken uppgifter från registret kan lämnas ut kommer det således att röra sig om två olika verksamhetsgrenar inom myndigheten i OSL:s mening. För att en sekretessgräns ska uppstå inom en myndighet räcker det dock inte att det finns olika verksamhetsgrenar utan dessa måste också organiseras på ett sådant sätt att de förhåller sig självständiga i förhållande till varandra (8 kap. 2 § OSL). För det fall ett universitet eller en högskola väljer att både föra ett register enligt den föreslagna lagen och bedriva sådan forskning till vilken uppgifter från registret kan lämnas ut förutsätter dock regeringen att så sker.
Rätten att meddela och offentliggöra uppgifter
Bestämmelser om sekretess innebär både handlingssekretess och tystnadsplikt (3 kap 1 § OSL). Varje svensk medborgare har enligt 1 kap. 1 § tryckfrihetsförordningen (TF) och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen (YGL) en rätt att meddela och offentliggöra uppgifter. Denna rätt har som huvudregel företräde framför bestämmelser om tystnadsplikt. Nämnda rätt har dock aldrig företräde framför bestämmelser om sekretess för allmänna handlingar (7 kap. 3 § första stycket 2 och 5 § TF och 5 kap. 1 § första stycket och 3 § 2 YGL). När det gäller en uppgift som omfattas av en sekretessbestämmelse kan det således vara tillåtet att t.ex. muntligen lämna uppgiften till en journalist eller att själv publicera uppgiften, men det är aldrig tillåtet att med stöd av rätten att meddela och offentliggöra uppgiften lämna den allmänna handling varav den sekretessbelagda uppgiften framgår till t.ex. en journalist eller att själv publicera handlingen.
I ett antal fall har även bestämmelser om tystnadsplikt företräde framför rätten att meddela och offentliggöra uppgifter. I dessa fall är således denna rätt helt inskränkt. Vissa av dessa situationer är reglerade direkt i TF och YGL. Där anges vidare att det inte är tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter uppsåtligen åsidosätta en tystnadsplikt i de fall som anges i en särskild lag. Den särskilda lag som avses är offentlighets- och sekretesslagen (se 13 kap. OSL, slutet av varje kapitel i lagens fjärde-sjätte avdelningar samt lagens sjunde avdelning).
Varje gång lagstiftaren överväger att införa en ny sekretessbestämmelse måste lagstiftaren också överväga om den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen bör ha företräde framför rätten att meddela och offentliggöra uppgifter. Utgångspunkten är att stor återhållsamhet alltid bör iakttas vid prövningen av om undantag från rätten att meddela och offentliggöra uppgifter bör göras i ett särskilt fall. Den enskilda sekretessbestämmelsens konstruktion kan ge viss vägledning. När det är fråga om bestämmelser om absolut sekretess kan det finnas större anledning att överväga undantag från rätten att meddela och offentliggöra uppgifter än i andra fall. Detsamma gäller i viss mån sekretessbestämmelser med ett omvänt skaderekvisit. Det bör också beaktas om uppgiften har lämnats av en enskild i en förtroendesituation eller om uppgiften hänför sig till myndighetsutövning. I det förra fallet bör rätten att meddela och offentliggöra uppgifter normalt sett inskränkas, medan denna rätt i regel bör ha företräde när det är fråga om uppgifter som hänför sig till myndighetsutövning (prop. 1979/80:2 Del A s. 111 f.).
Sekretessbestämmelserna i 24 kap. OSL till skydd för viss verksamhet som rör forskning och sekretessbestämmelsen till skydd för enskilda i PKU-registret är försedda med omvända skaderekvisit och den tystnadsplikt som följer av dessa bestämmelser inskränker inte rätten att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer av bestämmelsen om hälso- och sjukvårdssekretess (25 kap. 1 §) inskränker dock rätten att meddela och offentliggöra uppgifter när det är fråga om uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke. Även den tystnadsplikt som följer av den absoluta statistiksekretessen inskränker rätten att meddela och offentliggöra uppgifter (24 kap. 9 § OSL). Det innebär att den tystnadsplikt som hos forskningsinrättningar gäller för miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier inskränker rätten att meddela och offentliggöra uppgifter.
Svenska Journalistförbundet anser att det bör vara möjligt för en anställd att kunna utnyttja rätten att meddela och offentliggöra uppgifter när det är fråga om uppgifter i register som förs enligt den föreslagna lagen eftersom det ökar möjligheten att granska verksamheten.
De uppgifter som det är fråga om lämnas av enskilda i förtroende till register som ska ligga till grund för olika forskningsprojekt. Som framgått ovan föreslår regeringen att uppgifter i dessa register ska omfattas av absolut sekretess. De uppgifter som kommer att finnas i registren är sådana som normalt förekommer inom hälso- och sjukvården. Den tystnadsplikt som följer av hälso- och sjukvårdssekretessen inskränker som huvudregel rätten att meddela och offentliggöra uppgifter. Som regeringen har anfört tidigare anser regeringen vidare att skyddet för uppgifter om enskildas personliga förhållanden inte bör vara svagare när sådana uppgifter förekommer i ett register som ligger till grund för viss forskning än när uppgifterna förekommer i forskningen som sådan. Den tystnadsplikt som följer av den sekretessbestämmelse som gäller i medicinska studier inskränker rätten att meddela och offentliggöra uppgifter. Regeringen anser därför att även den tystnadsplikt som följer av den nu föreslagna sekretessbestämmelsen bör inskränka denna rätt.
Svenska journalistförbundet har vidhållit att rätten att meddela och offentliggöra uppgifter inte bör vika för tystnadsplikten när det är fråga om uppgifter som inte är direkt hänförliga till enskilda. Sådana uppgifter får enligt regeringens förslag lämnas ut, om det står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider men. Det är således fråga om en sekretessbrytande bestämmelse som är försedd med ett omvänt skaderekvisit. Som nämnts tidigare finns en motsvarande bestämmelse i 24 kap. 8 § OSL. Den tystnadsplikt som följer av 24 kap. 8 § inskränker rätten att meddela och offentliggöra uppgifter utan något undantag. Regeringen anser inte att det finns något skäl att göra någon annan bedömning i nu aktuellt fall.
Fråga om giltighetstid för sekretessbestämmelsen
Som framgår av avsnitt 5.1 föreslås den nya lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa vara tidsbegränsad. Regeringen anser dock inte att det finns skäl att tidsbegränsa de föreslagna sekretessbestämmelserna. Oavsett om den nämnda utredningen föreslår en ny lag eller inte kommer behovet av sekretess för nu aktuella uppgifter att bestå. Som nämnts ovan bör sekretessen för sådana uppgifter gälla i högst sjuttio år. Om utredningen finner att även sekretessbestämmelsen bör justeras får så ske i samband med den nya lagstiftning som kan komma att föreslås.
7 Ikraftträdande
Regeringens förslag: Den nya lagen och ändringarna i offentlighets- och sekretesslagen ska träda i kraft den 1 november 2013. Den nya lagen ska i avvaktan på en av regeringen beslutad generell översyn av förutsättningarna för registerbaserad forskning vara tidsbegränsad och gälla till och med den 31 december 2015.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: En majoritet av remissinstanserna har inget att invända mot förslaget.
Lunds universitet anser att skälen för att lagen ska ha en begränsad giltighetstid i avvaktan på ett mera generellt förslag inte redovisas särskilt klart och att en särlösning kan innebära att vissa frågor låses och att det kan bli svårt att frångå den lösning som nu beslutas.
Skälen för regeringens förslag: Som framgår av avsnitt 5.1 anser regeringen att det är angeläget att snarast ge ett tydligt lagstöd för uppbyggandet av den typ av databaser som avses i Datainspektionens beslut. Den nya lagen och ändringarna i offentlighets- och sekretesslagen bör därför träda i kraft den 1 november 2013. Av skäl som angivits i avsnitt 5.1 bör vidare den nya lagen vara tidsbegränsad till och med den 31 december 2015. Lagen om ändring i offentlighets- och sekretesslagen bör dock, av skäl som angivits i avsnitt 6.2, inte vara tidsbegränsad.
Lunds universitet har haft synpunkter på förslaget om en tidsbegränsad lag. Som framgår av avsnitt 4.4 pågår ett utredningarbete avseende förutsättningarna för registerbaserad forskning. Regeringen anser att det när denna översyn är slutförd kan finnas anledning att ompröva behovet av en särskild registerlag för vissa register för forskning om vad arv och miljö betyder för människors hälsa och att utvärdera hur den nya lagen har fungerat i både forsknings- och integritetsskyddshänseende. Genom att lagen tidsbegränsas åtar sig regeringen att senast efter en viss tid utvärdera lagen och ta ställning till om den ska permanentas, ändras eller ersättas av annan reglering. För att en utvärdering av lagen ska bli meningsfull måste dock lagen ha hunnit vara i kraft en tid innan utvärderingen görs. Regeringen gör därför bedömningen att lagen bör tidsbegränsas till och med den 31 december 2015.
8 Konsekvenser
Den föreslagna lagen innebär inte någon skyldighet att bedriva viss verksamhet. De universitet och högskolor som vill bedriva verksamhet enligt den föreslagna lagen får göra det inom ramen för befintliga anslags- och donationsmedel, som också får bekosta eventuella skadestånd. Några ökade kostnader för staten uppkommer alltså inte på grund av den föreslagna lagen.
Datainspektionen har redan tillsyn över den verksamhet som föreslås bli reglerad. Några ökade kostnader för staten för Datainspektionens tillsynsverksamhet bedöms därför inte uppkomma.
Den föreslagna lagen bedöms inte ha några konsekvenser för jämställdheten, företagen eller miljön.
9 Författningskommentar
9.1 Förslaget till lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa
Lagens syfte
1 § Syftet med denna lag är att
1. ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och
2. skydda den enskildes personliga integritet i sådan verksamhet.
I paragrafen anges det övergripande syftet med den föreslagna lagen. Detta är dels att möjliggöra för universitet och högskolor att bygga upp register som ska utgöra underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, dels att skydda enskildas integritet i sådan verksamhet.
Lagens tillämpningsområde
2 § Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med den enskildes uttryckliga samtycke sker i sådant syfte som anges i 1 § 1.
Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Regeringen meddelar föreskrifter om vilka statliga universitet och högskolor som får behandla personuppgifter enligt denna lag och vilka register enligt lagen som får föras.
Paragrafen anger lagens tillämpningsområde.
Av första stycket framgår att lagen bara gäller sådan behandling av personuppgifter som utförs av statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som dels sker med den enskildes uttryckliga samtycke, dels sker i sådant syfte som anges i 1 § 1. Detta innebär inledningsvis att lagen inte är tillämplig på behandling av personuppgifter som utförs av andra myndigheter än statliga universitet och högskolor som omfattas av högskolelagen. Lagen omfattar inte heller behandling av personuppgifter som utförs av sådana universitet och högskolor för sådant ändamål som anges i 1 § 1, men där personuppgifterna inte har inhämtats efter uttryckligt samtycke av den enskilde. Som exempel kan nämnas register som innehåller sådana personuppgifter som inte är direkt hänförliga till enskilda och som ett universitet eller en högskola har erhållit från någon annan myndighet på annan grund än den enskildes samtycke. Eftersom det följer av första stycket och 1 § 1 att syftet med personuppgiftsbehandlingen ska vara att skapa underlag för olika forskningsprojekt omfattar lagen inte heller register som förs av ett universitet eller en högskola inom ramen för ett enskilt forskningsprojekt som har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor. Genom avgränsningen till underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa är lagen inte heller tillämplig på register som förs av universitet och högskolor med stöd av personuppgiftslagen (1998:204) eller någon annan författning för andra forskningsändamål, även om sådana register innehåller personuppgifter som behandlas med den enskildes uttryckliga samtycke.
Av andra stycket följer att helt manuell behandling av personuppgifter som inte ingår i någon samling som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier faller utanför lagens tillämpningsområde (s.k. ostrukturerat material, jfr 5 a § första stycket personuppgiftslagen).
Av tredje stycket framgår att lagens närmare tillämpningsområde, när det gäller vilka universitet och högskolor som får behandla personuppgifter enligt lagen och vilka register som dessa universitet och högskolor får föra, kommer att anges i förordning. Stycket har formulerats i enlighet med Lagrådets förslag.
Förhållandet till personuppgiftslagen
3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag.
Av paragrafen framgår att personuppgiftslagen ska gälla vid behandling av personuppgifter enligt lagen, om inte något annat följer av lagen.
De begrepp som används i lagen har samma innebörd som enligt 3 § personuppgiftslagen (1998:204), om inte något annat framgår av lagen. I 4 § regleras vem som är personuppgiftsansvarig.
Bestämmelsen behandlas i avsnitt 5.2.
Personuppgiftsansvar
4 § De universitet eller högskolor som utför behandlingen av personuppgifter är personuppgiftsansvariga.
I paragrafen anges vem som är personuppgiftsansvarig, dvs. som har ansvaret för att både denna lag och tillämpliga bestämmelser i personuppgiftslagen följs. Bestämmelsen innebär att detta ansvar vilar på det universitet eller den högskola som med stöd av föreskrifter som avses i 2 § tredje stycket utför behandlingen av personuppgifter.
Bestämmelsen behandlas i avsnitt 5.3.
Ändamål
5 § Personuppgifter får behandlas för ändamålen att
1. skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och
2. lämna ut uppgifter för sådan forskning som anges i 1 i den utsträckning och på det sätt som anges i 6 §.
I paragrafen anges de s.k. primära ändamål för vilka personuppgifter får behandlas enligt lagen. De primära ändamålen avser myndighetens eget behov av att behandla personuppgifter.
Det första primära ändamålet är att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt. Med "arv" avses alla slags ärftliga egenskaper. Med "miljö" avses alla omvärldsfaktorer som skulle kunna påverka människors hälsa, t.ex. kost och livsstil, förebyggande åtgärder och sjukdomsbehandling. Med "sjukdomar" avses sjukdomar som kan drabba människor.
Det andra primära ändamålet är att lämna ut uppgifter för sådan forskning som avses i punkten 1. Utlämnande får bara ske under de förutsättningar som anges i 6 § andra stycket.
Bestämmelserna behandlas i avsnitt 5.4.
6 § Personuppgifter som har registrerats enligt 9 § får lämnas ut till sådan forskning som avses i 5 § 1 under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor och att forskningen bedrivs vid en myndighet.
Utlämnande enligt första stycket får endast avse personuppgifter som inte är direkt hänförliga till den enskilde. Personuppgifterna får dock vid utlämnandet vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till den registrerades personnummer eller motsvarande identitetsbeteckning.
Paragrafen innehåller en precisering av under vilka förutsättningar uppgifter får lämnas ut till sådan forskning som avses i 5 § 1.
Personuppgifter som har registrerats enligt lagen får enligt första stycket lämnas ut från registret för att användas i forskning om vad arv och miljö betyder för uppkomsten och utvecklingen av olika sjukdomar och för människors hälsa i övrigt. För en närmare förklaring av vad som avses med arv och miljö hänvisas till kommentaren till 5 §. En förutsättning för att uppgifter ska få lämnas ut enligt denna punkt är att såväl den aktuella forskningen som behandlingen av uppgifterna har godkänts enligt lagen om etikprövning av forskning som avser människor. Enligt 6 § nämnda lag ska ett etikgodkännande avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Vidare får forskningen bara innefatta behandling av personuppgifter enligt 13 och 21 §§ personuppgiftslagen om behandlingen har godkänts vid etikprövningen.
En ytterligare förutsättning för utlämnande enligt första stycket är att den etikgodkända forskningen bedrivs vid en myndighet. Forskningen kan bedrivas av såväl statliga som kommunala och landstingskommunala myndigheter. Ett utlämnande från registret enligt första stycket kan även ske till det personuppgiftsansvariga universitetet eller den personuppgiftsansvariga högskolan.
Av andra stycket framgår att uppgifter endast får lämnas ut enligt första stycket om uppgifterna inte direkt, genom t.ex. namn eller personnummer, kan hänföras till den enskilde. Uppgifterna får dock förses med ett löpnummer som hos den personuppgiftsansvarige kan kopplas till de registrerades personnummer eller motsvarande identitetsbeteckning. Utlämnande av identitetsbeteckning med löpnummer möjliggör bl.a. för den som bedriver ett etikgodkänt forskningsprojekt att återkomma och begära uppdatering av uppgifterna inom ramen för projektet.
Bestämmelserna behandlas i avsnitt 5.4.
7 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också lämnas ut till en utredning av oredlighet i sådan forskning som avses i 6 § första stycket eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning. Vid sådana utlämnanden ska 6 § andra stycket gälla.
Om personuppgifter har lämnats ut enligt 6 § första stycket får den personuppgiftsansvarige till en annan myndighet lämna ut sådana beteckningar som avses i 6 § andra stycket och de registrerades personnummer eller motsvarande identitetsbeteckning, om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till den forskning som utlämnande har skett till enligt 6 § första stycket 1.
Personuppgifter som har registrerats enligt denna lag får alltid lämnas ut till den registrerade själv.
Paragrafen anger de s.k. sekundära ändamålen, dvs. när personuppgifter får lämnas ut för att tillgodose andras behov.
Enligt första stycket får uppgifter lämnas ut för en utredning av oredlighet i sådan forskning som avses i 6 § första stycket eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning. Granskning av forskning kan även ske i form av ytterligare forskning. I sådana fall blir 6 § tillämplig.
Om löpnummerförsedda uppgifter har lämnats ut till ett etikgodkänt forskningsprojekt enligt 6 § första stycket framgår av andra stycket att den personuppgiftsansvarige får lämna ut en förteckning över löpnummer och personnummer eller motsvarande identitetsbeteckningar (en s.k. kodnyckel) till en annan myndighet, om det är nödvändigt för att den mottagande myndigheten i sin tur ska kunna lämna ut uppgifter om samma personer till samma forskning.
Av tredje stycket framgår att personuppgifter som har registrerats enligt lagen alltid får lämnas ut till den registrerade själv. Om den registrerade är underårig, och inte har nått en sådan ålder och mognad att han eller hon själv kan ta ställning till frågan om behandling av personuppgifter, får uppgifter lämnas ut till den registrerades vårdnadshavare.
Bestämmelserna behandlas i avsnitt 5.4.
8 § Personuppgifter som behandlas för de ändamål som anges i 5 § får, utöver vad som följer av 6 och 7 §§, bara lämnas ut om det finns en skyldighet enligt lag att göra det.
Personuppgifter i ett register som förs enligt denna lag får bara behandlas för sådana ändamål som anges i första stycket och 5-7 §§ samt för sådant bevarande som anges i 12 §.
I paragrafens första stycke slås det fast att personuppgifter i andra fall än som anges i föregående två paragrafer bara får lämnas ut om det finns en skyldighet enligt lag att göra det. En sådan skyldighet kan följa av offentlighetsprincipen. I avsnitt 9.2 finns kommentarer till de ändringar i offentlighets- och sekretesslagen (2009:400) som föreslås i propositionen. Bland annat föreslås en ny bestämmelse om sekretess för uppgifter om enskildas personliga förhållanden i verksamhet enligt nu föreslagen lag. En skyldighet att lämna ut personuppgifter till tillsynsmyndigheten, dvs. Datainspektionen, följer av 43 § personuppgiftslagen.
Alla slags personuppgifter, dvs. även känsliga personuppgifter enligt 13 § personuppgiftslagen, uppgifter om lagöverträdelser m.m. enligt 21 § personuppgiftslagen och personnummer, får lämnas ut enligt första stycket.
Av andra stycket framgår att personuppgifter enligt lagen bara får behandlas för de ändamål som anges i första stycket och i 5-7 §§ samt för sådant bevarande av uppgifter för historiska, statistiska eller vetenskapliga ändamål som får ske med stöd av föreskrifter eller särskilda beslut enligt 12 §. Ordet "bara" innebär att denna uppräkning av ändamål är uttömmande. Detta innebär att finalitetsprincipen, dvs. bestämmelsen i 9 § första stycket d) personuppgiftslagen som innebär att uppgifter får behandlas för ett ändamål som inte är oförenligt med det för vilket uppgifterna samlats in, inte är tillämplig. Inte heller 9 § andra stycket personuppgiftslagen, som innebär att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenlig med de ändamål för vilka uppgifterna samlades in, är tillämplig. När det gäller ändamålet "sådant bevarande av uppgifter för historiska, statistiska eller vetenskapliga ändamål som får ske med stöd av föreskrifter eller särskilda beslut enligt 12 §" innebär bestämmelsen att det bara är själva bevarandet som är tillåtet. Under lagens giltighetstid får uppgifter bara lämnas ut för sådana ändamål som anges i första stycket eller 6 eller 7 §. Stycket har formulerats i enlighet med Lagrådets förslag.
Bestämmelsen behandlas i avsnitt 5.4 och 5.6.
Personuppgifterna i registret
9 § I ett register enligt denna lag får det i fråga om personuppgifter bara finnas
1. uppgifter som den registrerade själv har lämnat i syfte att de ska ingå i registret,
2. uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i registret,
3. uppgifter om undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i registret,
4. kategoriseringar av sådana uppgifter som avses i 1-3,
5. kontaktinformation till den registrerade,
6. andra uppgifter än som avses i 1-5 och som den registrerade uttryckligen har samtyckt till får ingå i registret, och
7. uppgifter om utlämnande som har skett till forskning.
Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.
I paragrafen finns det bestämmelser om vilka personuppgifter som får finnas i ett register enligt lagen.
Enligt första stycket 1-3 får det i registret finnas sådana uppgifter som den registrerade själv har lämnat i syfte att de ska ingå i registret, uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i registret och uppgifter om undersökningar som den registrerade genomgått i syfte att resultatet ska ingå i registret.
Med upptagningar avses bild- eller ljudinformation, t.ex. röntgenbilder. Med undersökningar avses bl.a. mätningar av försökspersonernas fysiologiska egenskaper, som t.ex. syn, hörsel, lungfunktion, blodtryck. Vid undersökningar kan prover med biologiskt material från en människa tas. Med uppgifter om upptagningar och undersökningar avses t.ex. analysresultat och administrativa uppgifter om bl.a. tillfället för upptagningen eller undersökningen, mängden material i ett prov, hur det är märkt och på vilken plats det förvaras.
Av första stycket 4 framgår att även kategoriseringar av ovan nämnda uppgifter kan registreras.
Den som är underårig och inte har nått en sådan ålder eller mognad att han eller hon själv kan ta ställning till frågan om behandling av hans eller hennes personuppgifter företräds av sin vårdnadshavare. Uppgifter som har lämnats om en underårig av hans eller hennes vårdnadshavare anses ha lämnats av den registrerade själv enligt första stycket 1.
Av första stycket 5 framgår att kontaktinformation till den registrerade får registreras. Med kontaktinformation avses all slags information om var den registrerade befinner sig och hur han eller hon kan nås. Kontaktinformationen får registreras även om den inte har lämnats av den registrerade utan har hämtats in från annat håll. Kontaktinformation till den registrerade innefattar, när det är fråga om en underårig, även uppgifter om dennes vårdnadshavare.
Andra uppgifter än sådana som avses i första och andra styckena får enligt första stycket 6 ingå i registret om den registrerade uttryckligen har samtyckt till att uppgifterna får registreras. Vad som sagts ovan avseende underåriga och vårdnadshavare gäller även vid registrering enligt denna punkt.
Enligt första stycket 7 får uppgifter registreras om utlämnande som har skett till forskning. Det som avses är sådana uppgifter som behövs för att tillgodose den registrerades rätt till information enligt 15 §. Förutom uppgifter om den registrerade, kan personuppgifter i form av kontaktinformation till forskningsprojekt behöva registreras. Punkten har formulerats i enlighet med Lagrådets förslag.
Alla slags personuppgifter, dvs. även känsliga personuppgifter enligt 13 § personuppgiftslagen, uppgifter om lagöverträdelser m.m. enligt 21 § personuppgiftslagen och personnummer, får behandlas enligt första stycket.
Enligt andra stycket får uppgifter avseende sådana genetiska undersökningar som den registrerade har genomgått i syfte att analysresultatet ska ingå i registret registreras under förutsättning att regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om det.
Bestämmelserna behandlas i avsnitt 5.5.
Intern elektronisk åtkomst
10 § Den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret.
Paragrafen innehåller en bestämmelse om begränsning av den interna elektroniska åtkomsten till personuppgifter hos en personuppgiftsansvarig.
Enligt bestämmelsen ska det personuppgiftsansvariga universitetet eller den personuppgiftsansvariga högskolan begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna utföra sina arbetsuppgifter i fråga om registret. Sådana arbetsuppgifter kan t.ex. vara att föra in uppgifter i registret och att lämna ut uppgifter från registret. Med uppdragstagare avses bl.a. personuppgiftsbiträden. Syftet med begränsningen är att förstärka skyddet för den personliga integriteten genom att se till att uppgifterna är tillgängliga för en så liten krets som möjligt. Därutöver gäller bestämmelserna i 30-32 §§ personuppgiftslagen om lämpliga tekniska och organisatoriska säkerhetsåtgärder vid behandling av personuppgifter.
Bestämmelsen behandlas i avsnitt 5.6.
Utlämnande genom direktåtkomst
11 § Utlämnande genom direktåtkomst till personuppgifter i registret får inte förekomma.
Paragrafen innehåller en bestämmelse om förbud mot direktåtkomst till personuppgifter i ett register enligt denna lag.
Med direktåtkomst avses en elektronisk åtkomst till personuppgifter som innefattar ett utlämnande av uppgifterna till den som har åtkomsten. Paragrafen innebär att det inte är tillåtet att genom direktåtkomst lämna ut personuppgifter enligt 6 §, 7 § eller 8 § första stycket. Detta gäller oavsett om det är fråga om utlämnande till andra myndigheter eller om det är fråga om utlämnande till sådana anställda eller uppdragstagare hos den personuppgiftsansvarige som arbetar med sådan forskning som avses i 6 § första stycket. Bestämmelsen hindrar inte att personuppgifter lämnas ut enligt 6-8 §§ i elektronisk form på annat sätt än genom direktåtkomst, t.ex. genom s.k. utlämnande på medium för automatiserad behandling.
Bestämmelsen behandlas i avsnitt 5.6.
Gallring
12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Paragrafen innehåller en bestämmelse om gallring av personuppgifter.
Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2, dvs. för att skapa underlag och lämna ut uppgifter för forskning om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, ska gallras om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Paragrafen är en sådan bestämmelse om gallring som enligt 10 § tredje stycket arkivlagen (1990:782) tar över skyldigheten enligt den lagen att bevara allmänna handlingar.
Bestämmelsen behandlas i avsnitt 5.6.
Rättelse
13 § Bestämmelserna i 28 § personuppgiftslagen (1998:204) om rättelse tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag.
Enligt paragrafen ska bestämmelserna i personuppgiftslagen om rättelse tillämpas på motsvarande sätt i fråga om personuppgifter som har behandlats i strid med lagen. Bestämmelsen har formulerats i enlighet med Lagrådets förslag.
Bestämmelsen behandlas i avsnitt 5.6.
Samtycke och information
14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.
Innan en person lämnar sitt samtycke enligt första stycket ska han eller hon ha informerats om
1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,
2. för vilka ändamål behandling kan ske enligt 5-7 §§ och vilka uppgifter som får registreras enligt 9 §,
3. de sekretess- och säkerhetsbestämmelser som gäller för registret,
4. vem som är personuppgiftsansvarig,
5. hur länge uppgifterna sparas,
6. rätten till rättelse av uppgifterna,
7. rätten till information enligt 15 § denna lag och 26 § personuppgiftslagen (1998:204),
8. vilken myndighet som har tillsyn över att denna lag följs,
9. rätten till skadestånd, och
10. rätten att få uppgifter utplånade.
Av paragrafen framgår vilka krav som ställs på den information och det samtycke som ska lämnas innan personuppgifter får samlas in enligt lagen.
Enligt 3 § personuppgiftslagen avses med samtycke varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. I förhållande till den definitionen har det i paragrafen dels preciserats vad den registrerades frivilliga och särskilda viljeyttring ska avse (behandling i enlighet med lagen), dels preciserats att den registrerades otvetydiga viljeyttring ska vara uttrycklig. Kravet på att den registrerade uttryckligen ska ha samtyckt innebär att viljeyttringen ska lämnas på ett tydligt iakttagbart sätt som inte lämnar något utrymme för tvekan om innebörden. Det har i övrigt inte föreskrivits någon särskild form för samtycket.
Innan den registrerade lämnar sitt samtycke ska han eller hon ha informerats om de i paragrafen angivna uppgifterna. Den närmare innebörden av informationsskyldigheten behandlas i avsnitt 5.7.1. Det har inte föreskrivits någon särskild form för lämnandet av informationen.
Den som faktiskt kan tillgodogöra sig informationen och som faktiskt kan avge en frivillig viljeyttring, som innebär att han eller hon godtar behandlingen av personuppgifter, kan själv lämna samtycke (jfr SOU 1997:39 s. 342). Den som är underårig och inte har nått en sådan ålder och mognad att han eller hon själv kan tillgodogöra sig informationen och ta ställning till frågan företräds av sin vårdnadshavare (jfr 6 kap. 11 § föräldrabalken). Om det finns två vårdnadshavare, ska båda tillsammans lämna samtycket efter att båda har fått information. Är en av vårdnadshavarna till följd av frånvaro, sjukdom eller annan orsak förhindrad att ta del i beslutet om samtycke och kan detta inte utan olägenhet uppskjutas, kan samtycket dock lämnas av den andre ensam (6 kap. 13 § föräldrabalken).
Den personuppgiftsansvarige har bevisbördan för att information har lämnats och att samtycke har getts enligt paragrafen.
Bestämmelserna behandlas i avsnitt 5.7.1.
Information om utlämnande till forskning
15 § Den registrerade har rätt att på begäran få information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut.
Paragrafen innehåller en bestämmelse om rätt till information för den registrerade.
Den information som ska lämnas enligt paragrafen ska avse till vilka forskningsprojekt uppgifter om den registrerade har lämnats ut. Det har inte föreskrivits någon särskild form för lämnandet av informationen. För en registrerad som är underårig, och inte har nått en sådan ålder och mognad att han eller hon själv kan ta ställning till frågan, får en begäran göras av den registrerades vårdnadshavare.
Av 9 § första stycket 7 framgår att den personuppgiftsansvarige får registrera uppgifter i den utsträckning som behövs för att tillgodose den registrerades rätt enligt förevarande paragraf.
Bestämmelsen behandlas i avsnitt 5.7.3.
Utplåning av uppgifter
16 § Den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar utplåning av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges.
Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes utplåna uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärt utplåning även av uppgifter som avses i 9 § första stycket 7 ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den enskilde har rätt att begära att även få dem utplånade.
Paragrafen innehåller bestämmelser om den registrerades rätt att få uppgifter utplånade.
Enligt första stycket har den registrerade rätt att när som helst begära att uppgifter i registret om honom eller henne utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Det innebär att begäran måste göras på papper. Kravet på egenhändigt undertecknande innebär vidare att det inte är tillräckligt att begäran är undertecknad av ett ombud. För en registrerad som är underårig, och inte har nått en sådan ålder och mognad att han eller hon själv kan ta ställning till frågan, får en sådan begäran göras av den registrerades vårdnadshavare. Frågan om en insänd och undertecknad text är en sådan begäran som avses i paragrafen får avgöras enligt sedvanliga regler om tolkning av ensidiga rättshandlingar.
Begäran ska göras hos den personuppgiftsansvarige. Detta innebär att begäran alltid kan sändas till den personuppgiftsansvarige. Har den personuppgiftsansvarige offentliggjort att en begäran kan göras på något annat vis, t.ex. till ett personuppgiftsbiträde, kan begäran också ske på det sålunda anvisade sättet.
Om begäran innefattar utplåning av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges. Sådana uppgifter avser till vilka forskningsprojekt uppgifter om den registrerade har lämnats ut samt kontaktuppgifter till sådana projekt. Godkännandet vid etikprövningen av behandlingen av personuppgifter i det mottagande forskningsprojektet kan nämligen ha förenats med bl.a. villkor om strykningsrätt så att den registrerade efter begäran hos forskningshuvudmannen kan få uppgifterna utplånade (prop. 2007/08:44 s. 26).
Det är vid tvist den registrerade som har bevisbördan för att en begäran har gjorts och tidpunkten för denna. I 10 § förvaltningslagen (1986:223) finns det bestämmelser om när en handling ska anses inkommen.
Av andra stycket följer att den personuppgiftsansvarige inom två månader från det att begäran gjordes ska utplåna uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärt utplåning även av sådana uppgifter som avses i 9 § första stycket 7 ska en kopia på dessa uppgifter bifogas bekräftelsen med en erinran om att den enskilde även har rätt att begära att få dem utplånade.
Bekräftelsen och anteckningarna ska sändas till den registrerade själv eller till dennes vårdnadshavare, om det är dessa som har gjort begäran. Bekräftelsen och anteckningarna kan sändas i elektronisk form om det är lämpligt. Det räcker att bekräftelsen och anteckningarna sänds iväg inom tvåmånadersfristen. Har den registrerade dött efter begäran behöver ingen bekräftelse sändas.
Bestämmelsen är en sådan bestämmelse om gallring som enligt 10 § tredje stycket arkivlagen tar över skyldigheten enligt den lagen att bevara allmänna handlingar.
Bestämmelsen innebär att de registrerade personuppgifterna ska förstöras så att de inte går att återskapa. Det är således inte tillåtet att t.ex. skriva ut datalagrade personuppgifter och spara dessa på papper och sedan förstöra det datalagrade. Det räcker inte heller att bara avidentifiera personuppgifterna.
Det är vid tvist den personuppgiftsansvarige som har bevisbördan för att personuppgifterna har utplånats och när så skett. Bestämmelserna behandlas i avsnitt 5.7.3.
Skadestånd
17 § Bestämmelserna i 48 § personuppgiftslagen (1998:204) om skadestånd tillämpas på motsvarande sätt i fråga om behandling av personuppgifter som har skett i strid med denna lag.
Enligt paragrafen ska bestämmelserna i personuppgiftslagen om skadestånd tillämpas på motsvarande sätt i fråga om behandling av personuppgifter som har skett i strid med lagen. Bestämmelsen har formulerats i enlighet med Lagrådets förslag.
Bestämmelsen behandlas i avsnitt 5.9.
9.2 Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
10 kap.
23 § Om inte annat följer av 19-22 §§ får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket eller 3-8 §§, 26 kap. 1-6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, polismyndighet eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,
2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller
3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
Paragrafen innehåller en s.k. sekretessbrytande bestämmelse som avser uppgiftslämnande vid misstankar om begångna brott.
Bestämmelsen har ändrats så att inte heller sekretessen enligt den nya bestämmelsen i 24 kap. 2 a § hindrar uppgiftslämnande under de förutsättningar som anges i förevarande paragraf.
Ändringen behandlas i avsnitt 6.2.
27 § Utöver vad som följer av 2, 3, 5 och 15-26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1-8 §§, 26 kap. 1-6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen (1998:204).
Paragrafen innehåller i första stycket den s.k. generalklausulen. Enligt den bestämmelsen hindrar sekretess inte att en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
En ändring har gjorts i paragrafens andra stycke av innebörd att den nya bestämmelsen i 24 kap. 2 a § undantas från generalklausulens tillämpningsområde.
Ändringen behandlas i avsnitt 6.2.
24 kap.
2 a § Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (2013:000) om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde.
Sekretessen hindrar inte att uppgift lämnas ut i den utsträckning som framgår av den lag som avses i första stycket. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Paragrafen, som är ny, innehåller i första stycket en bestämmelse om s.k. absolut sekretess i verksamhet som avser förande av eller uttag ur register enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgifter som avser enskilds personliga förhållanden och som kan hänföras till den enskilde.
Trots sekretessen får enligt andra stycket uppgifter lämnas ut i den utsträckning som framgår av den ovan nämnda lagen, se 5-7 §§ den lagen. Vidare får uppgifter som inte är direkt hänförliga till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Uppgifter som är direkt hänförliga till den enskilde, och som således inte får lämnas ut, är t.ex. namn eller personnummer eller motsvarande identitetsbeteckning.
Bestämmelserna behandlas i avsnitt 6.2.
2 b § Får en myndighet en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen (2013:000) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, blir 2 a § tillämplig även hos den mottagande myndigheten.
Paragrafen är ny och innehåller en bestämmelse om överföring av sekretess.
Bestämmelsen innebär att om en myndighet som för ett register enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa och därmed har att tillämpa sekretessbestämmelsen i 2 a § lämnar ut uppgifter som omfattas av den bestämmelsen till en annan myndighet, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Så kan t.ex. bli fallet om den myndighet som för ett register enligt lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa lämnar ut en s.k. kodnyckel till en annan myndighet enligt 7 § andra stycket den lagen. Bestämmelsen om överföring av sekretess blir också tillämplig om uppgifter lämnas från registret till en annan självständig verksamhetsgren inom den registerförande myndigheten (8 kap. 2 § OSL).
Om uppgifter lämnas över till ett etikgodkänt forskningsprojekt kommer både nu aktuell bestämmelse om överföring av sekretess och den generella bestämmelsen om överföring av sekretess till forskningsverksamhet (11 kap. 3 §) att bli tillämplig.
Vid konkurrens mellan sekretess som blir tillämplig på grund av den nu föreslagna bestämmelsen om överföring av sekretess och sekretess som på annan grund gäller hos den mottagande myndigheten blir huvudregeln i 7 kap. 3 § om konkurrens mellan sekretessbestämmelser tillämplig. Detta innebär att den sekretessbestämmelse enligt vilken en uppgift vid en sekretessprövning är sekretessbelagd har företräde framför en sekretessbestämmelse enligt vilken uppgiften ska lämnas ut.
Bestämmelsen behandlas i avsnitt 6.2.
9 § Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
Paragrafen reglerar när den tystnadsplikt som följer av sekretessbestämmelser i kapitlet inskränker den grundlagsfästa rätten att meddela och offentliggöra uppgifter.
Paragrafen har ändrats så att även den tystnadsplikt som följer av 2 a § inskränker rätten att meddela och offentliggöra uppgifter.
Ändringen behandlas i avsnitt 6.2.
Sammanfattning av promemorian Förslag till förordning om register för viss befolkningsbaserad forskning (U2012/3414/F)
I promemorian föreslås en ny förordning om register för viss befolkningsbaserad forskning. Enligt denna ska statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) med hjälp av automatiserad behandling få föra register för befolkningsbaserad forskning om vad arv och miljö betyder för uppkomsten av olika sjukdomar och för personers hälsa i övrigt. Personuppgifter ska bara få behandlas i sådana register om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen. Den registrerade ska dessutom ha rätt att när som helst återkalla ett lämnat samtycke. Vidare ska personuppgifter som avser honom eller henne utplånas ur registret så snart som möjligt, om han eller hon begär det.
Enligt förslaget ska personuppgifter få behandlas om det behövs dels för forskning om vad arv och miljö betyder för uppkomsten av olika sjukdomar och för personers hälsa i övrigt, dels för att skapa underlag för denna typ av forskning. Förslaget innebär vidare att finalitetsprincipen ska gälla vid personuppgiftsbehandling i nu aktuella register och att det bör införas en ändamålsbestämmelse som medger personuppgiftsbehandling för utlämnande som sker i överensstämmelse med lag eller förordning. Vidare föreslås att om inte annat följer av den föreslagna förordningen ska personuppgiftslagen tillämpas vid behandling av personuppgifter i nu aktuella register. Det innebär att bl.a. bestämmelserna i personuppgiftslagen om bevarande och gallring kommer att gälla för nu aktuella register.
Promemorians förordningsförslag (U2012/3414/F)
Förslag till förordning om register för viss befolkningsbaseradforskning
Inledning
1 § Ett universitet eller en högskola som omfattas av högskolelagen (1992:1434) får med hjälp av automatiserad behandling föra register för befolkningsbaserad forskning om vad arv och miljö betyder för uppkomsten av olika sjukdomar och för personers hälsa i övrigt.
Förhållandet till personuppgiftslagen
2 § Om inte annat följer av denna förordning tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter i register som avses i 1 §.
Den registrerades inställning till personuppgiftsbehandling
3 § Personuppgifter får behandlas i register som avses i 1 § bara om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen.
Den registrerade har rätt att när som helst återkalla ett lämnat samtycke.
4 § På begäran av den registrerade ska personuppgifter som avser honom eller henne utplånas ur registret så snart som möjligt.
Personuppgiftsansvarig
5 § Det universitet eller den högskola som utför behandlingen av personuppgifter är personuppgiftsansvarig.
Behandling av personuppgifter
6 § Personuppgifter i register som avses i 1 § får behandlas om det behövs
1. för forskning om vad arv och miljö betyder för uppkomsten av olika sjukdomar och för personers hälsa i övrigt, eller
2. för att skapa underlag för den typ av forskning som avses i 1.
7 § Personuppgifter som behandlas enligt 6 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).
Direktåtkomst
8 § Direktåtkomst får inte medges till uppgifterna i ett register som avses i 1 §.
Utlämnande på medium för automatiserad behandling
9 § Personuppgifter i register som avses i 1 § får lämnas ut på medium för automatiserad behandling endast för forskningsändamål som avses i 6 § 1.
Information
10 § Den information som den personuppgiftsansvarige ska lämna de registrerade enligt 25 § första stycket c personuppgiftslagen (1998:204) ska omfatta
1. vilka kategorier av uppgifter som ingår i registret,
2. varifrån uppgifter hämtas in,
3. hur länge registret kommer att föras,
4. rätten till rättelse av oriktiga uppgifter eller missvisande uppgifter,
5. upplysning om de sekretess- och säkerhetsbestämmelser som gäller för registret,
6. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande på medium för automatiserad behandling,
7. den registrerades rätt att ta del av uppgifter enligt 26 § personuppgiftslagen,
8. vad som gäller om bevarande och gallring av registret, och
9. rätten till skadestånd vid behandling av personuppgifter i strid med denna förordning eller personuppgiftslagen.
Sekretess
11 § I offentlighets- och sekretsslagen (2009:400) finns det bestämmelser om begränsningar i rätten att lämna ut personuppgifter.
Rättelse och skadestånd
12 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna förordning.
Förteckning över remissinstanserna avseende promemorian (U2012/3414/F)
Följande remissinstanser har inkommit med yttrande över promemorian: Kammarrätten i Stockholm, Förvaltningsrätten i Stockholm, Justitiekanslern, Gentekniknämnden, Datainspektionen, Socialstyrelsen, Läkemedelsverket, Smittskyddsinstitutet, Statens folkhälsoinstitut, Statens beredning för medicinsk utvärdering, Forskningsrådet för arbetsliv och socialvetenskap, Statskontoret, Statistikutredningen (Fi 2011:05), Uppsala universitet, Lunds universitet, Göteborgs universitet, Stockholms universitet, Umeå universitet, Linköpings universitet, Karolinska institutet, Kungl. Tekniska högskolan, Örebro universitet, Vetenskapsrådet, Centrala etikprövningsnämnden, Sveriges Kommuner och Landsting, Stockholms läns landsting, Landstinget i Uppsala län, Landstinget i Östergötland, Skåne läns landsting, Västra Götalands läns landsting, Västerbottens läns landsting, Cancerfonden - Riksföreningen mot Cancer, Läkemedelsindustriföreningen, Statens medicinsk-etiska råd, Stiftelsen för vård- och allergiforskning, Svenska Läkaresällskapet, Utredningen om rätt information i vård och omsorg (S 2011:13).
Följande remissinstanser har beretts tillfälle att yttra sig, men har förklarat sig avstå eller har inte inkommit med yttrande: Riksrevisionen, Högskoleverket, Verket för innovationssystem, Örebro läns landsting Hjärt-Lungfonden, Stiftelsen för strategisk forskning.
Sammanfattning av promemorian Utkast till lagrådsremiss Register för viss forskning (U2013/527/F)
I lagrådsremissen föreslås en lag om register för viss forskning. Förslaget innebär dels ett rättsligt stöd för statliga universitet och högskolor att inhämta, registrera, lagra och lämna ut personuppgifter i syfte att kunna lämna ut dem för olika forskningsprojekt om vad arv och miljö, såsom förebyggande åtgärder och sjukdomsbehandling, betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för personers hälsa i övrigt, dels ett skydd för den personliga integriteten i den verksamheten. Uppgifter, upptagningar eller undersökningar får inte inhämtas eller göras i syfte att dessa ska registreras i ett register som förs enligt den föreslagna lagen utan att den person som ska lämna uppgifterna, medverka till upptagningen eller genomgå undersökningen uttryckligen har lämnat ett informerat samtycke till att personuppgifter behandlas i enlighet med lagen. Den registrerade har enligt förslaget rätt att när som helst begära att uppgifter i registret om honom eller henne utplånas. Personuppgifter som bedöms inte längre behövas för att lämnas ut för forskning ska under alla förhållanden utplånas eller avidentifieras. Det ska enligt förslaget antecknas till vilka forskningsprojekt som uppgifter om en person har lämnats ut. Om det kan antas att en underrättelse krävs för att en registrerad ska få nödvändig förebyggande åtgärd, vård eller sjukdomsbehandling för ett allvarligare sjukdomstillstånd, ska universitetet eller högskolan enligt förslaget genast lämna en sådan underrättelse till den registrerade. Bestämmelserna i personuppgiftslagen (1998:204) om skadestånd ska gälla i fråga om behandling av personuppgifter i strid med den föreslagna lagen.
Lagen föreslås träda i kraft den 1 juli 2013. I avvaktan på en av regeringen beslutad generell översyn av förutsättningarna för registerbaserad forskning och sekretesskyddet för uppgifter som hanteras inom forskning, föreslår regeringen att lagen ska vara tidsbegränsad och gälla till och med den 31 december 2015.
Promemorians lagförslag (U2013/527/F)
1. Förslag till lag om register för viss forskning
Härigenom föreskrivs följande.
Lagens syfte och innehåll
1 § I denna lag ges föreskrifter som dels ger stöd för statliga universitet och högskolor att behandla personuppgifter i syfte att kunna lämna ut dem för olika forskningsprojekt om vad arv och miljö, såsom förebyggande åtgärder och sjukdomsbehandling, betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för personers hälsa i övrigt, dels avser att skydda den personliga integriteten i den verksamheten.
Lagen avser behandling av sådana uppgifter som enskilda frivilligt lämnat eller medverkat till för att uppgifterna ska få behandlas i sådant syfte som anges i första stycket. Lagen avser även behandling av andra uppgifter om enskilda som de har samtyckt till får behandlas i sådant syfte.
Tillämpningsområde
2 § Statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) får behandla personuppgifter enligt denna lag i den utsträckning regeringen meddelar föreskrifter om det.
Förhållandet till personuppgiftslagen
3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag.
Personuppgiftsansvarig
4 § Det universitet eller den högskola som utför behandlingen av personuppgifter är personuppgiftsansvarig.
Underåriga
5 § Är den registrerade en underårig som inte har uppnått en sådan ålder och mognad att han eller hon kan ta ställning till frågor om behandling av personuppgifter, medverkan till upptagningar eller deltagande i undersökningar avses med den registrerade vid tillämpningen av denna lag i stället den underåriges vårdnadshavare, i den utsträckning den underårige inte själv, efter samtycke från vårdnadshavaren, lämnar uppgifter, medverkar till upptagningar eller genomgår undersökningar enligt 8 §.
Ändamål
6 § Personuppgifter får bara behandlas
1. för att skapa underlag för olika forskningsprojekt om vad arv och miljö, såsom förebyggande åtgärder och sjukdomsbehandling, betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för personers hälsa i övrigt,
2. för att tillhandahålla uppgifter för sådan forskning som avses i punkt 1 i den utsträckning och på det sätt som anges i 7 §, samt
3. för annat utlämnande av uppgifter enligt 7 §.
7 § Personuppgifter som har registrerats enligt 8 § får behandlas för att lämnas ut
1. till sådan forskning som avses 6 § första stycket 1 under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor samt att forskningen bedrivs vid ett universitet eller en högskola som har staten som huvudman och som omfattas av högskolelagen, eller
2. för utredning av oredlighet i sådan forskning som avses i 1 eller för avgivande av yttrande i samband med sådan utredning.
Vid utlämnande enligt första stycket får personuppgifterna endast lämnas ut i avidentifierad form. De får dock vid utlämnandet vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till den registrerades personnummer eller motsvarande.
Personuppgifter som har registrerats enligt denna lag får alltid lämnas ut till den registrerade själv.
Personuppgifter får i övrigt bara lämnas ut om det finns en skyldighet enligt lag att göra det.
Personuppgifterna i registret
8 § I ett register enligt denna lag får det i fråga om personuppgifter bara finnas
1. uppgifter som den registrerade själv har lämnat och upptagningar som den enskilde har medverkat till i syfte att de ska ingå i registret
2. uppgifter avseende andra undersökningar än som avses i andra stycket som den registrerade har genomgått i syfte att resultatet ska ingå i registret,
3. sådana personuppgifter som den registrerade har lämnat om biologiska släktingar i syfte att uppgifterna ska ingå i registret, under förutsättning att de uppgifter som registreras inte direkt pekar ut släktingarna,
4. kategoriseringar av sådana uppgifter, upptagningar och undersökningar som avses i 1 och sådana uppgifter som avses i 2,
5. kontaktinformation till den registrerade, och
6. anteckningar enligt 15 §.
Uppgifter avseende sådana genetiska undersökningar som den registrerade har genomgått i syfte att analysresultatet ska ingå i registret får registreras under förutsättning
1. att den registrerade efter att har fått del av analysresultatet uttryckligen har samtyckt till att det får registreras, eller
2. regeringen eller den myndighet regeringen bestämmer meddelar föreskrifter om det.
Andra uppgifter än som avses i första och andra styckena får ingå i registret om den registrerade efter att dels har fått del av uppgifterna, dels har fått information enligt 13 §, uttryckligen har samtyckt till att uppgifterna får registreras.
Behandlingen av personuppgifter
9 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
10 § Direktåtkomst till personuppgifterna i registret får inte förekomma.
11 § Personuppgifter som bedöms inte längre behövas för de ändamål som avses i 6 § första stycket ska utplånas eller avidentifieras.
12 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse gäller för behandling av personuppgifter enligt denna lag.
Samtycke och information
13 § Uppgifter, upptagningar eller undersökningar får inte inhämtas eller göras i syfte att dessa ska registreras i ett register som förs enligt denna lag utan att den som ska lämna uppgifterna, medverka till upptagningen eller genomgå undersökningen uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.
Innan en person lämnar sitt samtycke enligt första stycket ska han eller hon ha informerats om
1. att registreringen är frivillig och att det är frivilligt att lämna uppgifter, låta göra upptagningar eller genomgå undersökningar,
2. den behandling som kan ske enligt 7 och 8 §§,
3. de sekretess- och säkerhetsbestämmelser som gäller för registret,
4. att lämnade uppgifter samt gjorda upptagningar och undersökningar kan komma att bli föremål för beslag enligt rättegångsbalken,
5. vem som är personuppgiftsansvarig,
6. vilka kategorier av uppgifter och vilka analysresultat som ingår i registret,
7. hur länge uppgifterna, upptagningarna och resultatet av undersökningarna sparas,
8. rätten till rättelse av uppgifterna,
9. de anteckningar som ska göras enligt 15 § och rätten till information enligt 26 § personuppgiftslagen (1998:204),
10. vilken myndigheter som har tillsyn över att denna lag följs,
11. rätten till skadestånd,
12. rätten att få uppgifter utplånade, och
13. underrättelseskyldigheten enligt 17 §.
14 § Har en registrerad som var underårig när uppgifter lämnades eller upptagningar eller undersökningar gjordes inte själv fått information enligt 13 § före 18 års ålder, ska information som avses i 13 § lämnas till den registrerade själv inom två år från det att han eller hon har fyllt 18 år. Sådan information behöver dock inte lämnas om myndigheten inte med rimliga ansträngningar kan nå den registrerade.
Anteckningar
15 § Den personuppgiftsansvarige ska för varje registrerad föra anteckningar om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut. Den personuppgiftsansvarige är skyldig att på begäran av den registrerade lämna ut anteckningarna om honom eller henne.
Utplåning av uppgifter
16 § Den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar utplåning av anteckningar enligt 15 § ska detta särskilt anges.
Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes utplåna uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärt utplåning även av anteckningarna enligt 15 § ska en kopia på dessa anteckningar bifogas bekräftelsen med en erinran om att den enskilde har rätt att begära att även få dem utplånade.
Underrättelseskyldighet
17 § Kan det vid behandling av personuppgifter enligt denna lag antas att en underrättelse krävs för att en registrerad ska få nödvändig förebyggande åtgärd, vård eller sjukdomsbehandling för ett allvarligare sjukdomstillstånd, ska den personuppgiftsansvarige genast lämna en sådan underrättelse till den registrerade.
Skadestånd
18 § Bestämmelserna i personuppgiftslagen (1998:204) om skadestånd gäller för behandling av personuppgifter enligt denna lag.
Denna lag träder i kraft den 1 juli 2013 och gäller till och med den 31 december 2015.
2. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 10 kap. 23 och 27 §§, 24 kap. 9 § samt rubriken närmast före 24 kap. 2 § ska ha följande lydelse,
dels att det i lagen ska införas en ny paragraf, 24 kap.2 a § av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
10 kap.
23 §
Om inte annat följer av 19-22 §§ får en uppgift som angår misstanke om brott och som är sekretessbelagd enligt 24 kap. 8 §, 25. kap. 1 §, 2 § andra stycket eller 3-8 §§, 26 kap. 1-6 §§, 29 kap. 1 §, 31 kap 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, polismyndighet eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
Om inte annat följer av 19-22 §§ får en uppgift som angår misstanke om brott och som är sekretessbelagd enligt 24 kap. 2 a eller 8 § , 25. kap. 1 §, 2 § andra stycket eller 3-8 §§, 26 kap. 1-6 §§, 29 kap. 1 §, 31 kap 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, polismyndighet eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,
2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller
3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försökt till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
27 §
Utöver vad som följer av 2, 3, 5 och 15-26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 8 §, 25 kap. 1-8 §§, 26 kap. 1-6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1-8 §§, 26 kap. 1-6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen (1998:204).
24 kap.
Register för viss forskning
2 a §
Sekretess gäller i verksamhet enligt lagen (0000:000) om register för viss forskning för uppgift som avser enskilds personliga förhållanden och som kan hänföras till den enskilde.
Sekretessen hindrar inte att uppgift lämnas ut i den utsträckning som framgår av lagen om register för viss forskning. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
9 §
Den tystnadsplikt som följer av 8 § och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
Denna lag träder i kraft den 1 juli 2013.
Förteckning över remissinstanserna avseende promemorian (U2013/527/F)
Följande remissinstanser har inkommit med yttrande över promemorian: Kammarrätten i Stockholm, Förvaltningsrätten i Stockholm, Justitiekanslern, Datainspektionen, Socialstyrelsen, Läkemedelsverket, Smittskyddsinstitutet, Statens folkhälsoinstitut, Forskningsrådet för arbetsliv och socialvetenskap, Utredningen om rätt information i vård och omsorg (S 2011:13), Statskontoret, Universitetskanslersämbetet, Lunds universitet, Göteborgs universitet, Stockholms universitet, Umeå universitet, Linköpings universitet, Karolinska institutet, Kungl. Tekniska högskolan, Örebro universitet, Vetenskapsrådet, Centrala etikprövningsnämnden, Sveriges Kommuner och Landsting, Stockholms läns landsting, Landstinget i Uppsala län, Landstinget i Östergötland, Skåne läns landsting, Cancerfonden - Riksföreningen mot Cancer, Statens medicinsk-etiska råd, Stiftelsen för vård- och allergiforskning, Svenska Journalistförbundet, Svenska Läkaresällskapet.
Följande remissinstanser har beretts tillfälle att yttra sig, men har förklarat sig avstå eller har inte inkommit med yttrande: Riksrevisionen, Riksdagens ombudsmän, Gentekniknämnden, Statens beredning för medicinsk utvärdering, Uppsala universitet, Verket för innovationssystem, Västra Götalands läns landsting, Västerbottens läns landsting, Örebro läns landsting, Hjärt-Lungfonden, Läkemedelsindustriföreningen, Stiftelsen för strategisk forskning, Tidningsutgivarna.
Lagrådsremissens lagförslag
Förslag till lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa
Härigenom föreskrivs följande.
Lagens syfte
1 § Syftet med denna lag är att
1. ge universitet och högskolor möjlighet att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och
2. skydda den enskildes personliga integritet i sådan verksamhet.
Lagens tillämpningsområde
2 § Lagen gäller behandling av personuppgifter som utförs av sådana statliga universitet och högskolor som omfattas av högskolelagen (1992:1434) och som med den enskildes uttryckliga samtycke sker i sådant syfte som anges i 1 § 1.
Lagen gäller bara om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Regeringen meddelar föreskrifter om i vilken utsträckning statliga universitet och högskolor får behandla personuppgifter enligt denna lag.
Förhållandet till personuppgiftslagen
3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter, om inte annat följer av denna lag.
Personuppgiftsansvar
4 § De universitet eller högskolor som utför behandlingen av personuppgifter är personuppgiftsansvariga.
Ändamål
5 § Personuppgifter får behandlas för ändamålen
1. att skapa underlag för olika forskningsprojekt om vad arv och miljö betyder för uppkomsten och utvecklingen av olika typer av sjukdomar och för människors hälsa i övrigt, och
2. att lämna ut uppgifter för sådan forskning som anges i 1 i den utsträckning och på det sätt som anges i 6 §.
6 § Personuppgifter som har registrerats enligt 9 § får behandlas för att lämnas ut till sådan forskning som avses i 5 § 1 under förutsättning att såväl forskningen som behandlingen av uppgifterna har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor och att forskningen bedrivs vid en myndighet.
Utlämnande enligt första stycket får endast avse personuppgifter som inte är direkt hänförliga till den enskilde. Personuppgifterna får dock vid utlämnandet vara försedda med en beteckning som hos den personuppgiftsansvarige kan kopplas till den registrerades personnummer eller motsvarande identitetsbeteckning.
7 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att lämnas ut till en utredning av oredlighet i sådan forskning som avses i 6 § första stycket eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning. Vid sådana utlämnanden ska 6 § andra stycket gälla.
Om personuppgifter har lämnats ut enligt 6 § första stycket får den personuppgiftsansvarige till en annan myndighet lämna ut sådana beteckningar som avses i 6 § andra stycket och de registrerades personnummer eller motsvarande identitetsbeteckning, om det är nödvändigt för att den mottagande myndigheten ska kunna lämna ut uppgifter om samma personer till den forskning som utlämnande har skett till enligt 6 § första stycket 1.
Personuppgifter som har registrerats enligt denna lag får alltid lämnas ut till den registrerade själv.
8 § Personuppgifter som behandlas för de ändamål som anges i 5 § får, utöver vad som följer av 6 och 7 §§, bara lämnas ut om det finns en skyldighet enligt lag att göra det.
Personuppgifter i ett register som förs enligt denna lag får inte behandlas för andra ändamål än som anges i första stycket samt 5-7 §§.
Personuppgifterna i registret
9 § I ett register enligt denna lag får det i fråga om personuppgifter bara finnas
1. uppgifter som den registrerade själv har lämnat i syfte att de ska ingå i registret,
2. uppgifter om eller i form av upptagningar som den registrerade har medverkat till i syfte att de ska ingå i registret,
3. uppgifter om undersökningar som den registrerade har genomgått i syfte att resultatet ska ingå i registret,
4. kategoriseringar av sådana uppgifter som avses i 1-3,
5. kontaktinformation till den registrerade,
6. andra uppgifter än som avses i 1-5 och som den registrerade uttryckligen har samtyckt till får ingå i registret, och
7. uppgifter som behövs för att tillgodose den registrerades rätt till information enligt 15 § om utlämnande som har skett till forskning.
Regeringen eller den myndighet som regeringen bestämmer meddelar föreskrifter om i vilken utsträckning uppgifter avseende genetiska undersökningar får registreras.
Behandlingen av personuppgifter
10 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
11 § Direktåtkomst till personuppgifter i registret får inte förekomma.
12 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § 1 och 2 ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
13 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse gäller för behandling av personuppgifter enligt denna lag.
Samtycke och information
14 § Personuppgifter som avses i 9 § får inte samlas in i syfte att de ska registreras i ett register som förs enligt denna lag utan att den som uppgifterna avser uttryckligen har samtyckt till att personuppgifter behandlas enligt denna lag.
Innan en person lämnar sitt samtycke enligt första stycket ska han eller hon ha informerats om
1. att det är frivilligt att lämna uppgifter, medverka till upptagningar eller genomgå undersökningar i syfte att uppgifter om detta förs in i registret samt att den registrerade när som helst kan avbryta sitt uppgiftslämnande, sin medverkan eller sitt deltagande helt eller delvis,
2. för vilka ändamål behandling kan ske enligt 5-7 §§ och vilka uppgifter som får registreras enligt 9 §,
3. de sekretess- och säkerhetsbestämmelser som gäller för registret,
4. vem som är personuppgiftsansvarig,
5. hur länge uppgifterna sparas,
6. rätten till rättelse av uppgifterna,
7. rätten till information enligt 15 § denna lag och 26 § personuppgiftslagen (1998:204),
8. vilken myndighet som har tillsyn över att denna lag följs,
9. rätten till skadestånd, och
10. rätten att få uppgifter utplånade.
Information om utlämnande till forskning
15 § Den registrerade har rätt att på begäran få information om till vilka forskningsprojekt uppgifter om honom eller henne har lämnats ut.
Utplåning av uppgifter
16 § Den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den registrerade själv. Om begäran innefattar utplåning av sådana uppgifter som avses i 9 § första stycket 7 ska detta särskilt anges.
Den personuppgiftsansvarige ska inom två månader från det att begäran gjordes utplåna uppgifterna i enlighet med begäran och sända den registrerade en bekräftelse på att så har skett. Om den enskilde inte har begärt utplåning även av uppgifter som avses i 9 § första stycket 7 ska en kopia på dessa uppgifter bifogas bekräftelsen med en påminnelse om att den enskilde har rätt att begära att även få dem utplånade.
Skadestånd
17 § Bestämmelserna i personuppgiftslagen (1998:204) om skadestånd gäller för behandling av personuppgifter enligt denna lag.
Denna lag träder i kraft den 1 oktober 2013 och gäller till och med den 31 december 2015.
Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 10 kap. 23 och 27 §§ samt 24 kap. 9 § ska ha följande lydelse,
dels att det i lagen ska införas två nya paragrafer, 24 kap. 2 a och 2 b §§ samt före 24 kap. 2 a och b §§ tre nya rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
10 kap.
23 §
Om inte annat följer av 19-22 §§ får en uppgift som angår misstanke om brott och som är sekretessbelagd enligt 24 kap. 8 §, 25. kap. 1 §, 2 § andra stycket eller 3-8 §§, 26 kap. 1-6 §§, 29 kap. 1 §, 31 kap 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, polismyndighet eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
Om inte annat följer av 19-22 §§ får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket eller 3-8 §§, 26 kap. 1-6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, polismyndighet eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,
2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller
3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
27 §
Utöver vad som följer av 2, 3, 5 och 15-26 §§ får en sekretessbelagd uppgift lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 8 §, 25 kap. 1-8 §§, 26 kap. 1-6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte i fråga om sekretess enligt 24 kap. 2 a och 8 §§, 25 kap. 1-8 §§, 26 kap. 1-6 §§, 29 kap. 1 och 2 §§, 31 kap. 1 § första stycket, 2 och 12 §§, 33 kap. 2 §, 36 kap. 3 § samt 40 kap. 2 och 5 §§.
Första stycket gäller inte heller om utlämnandet strider mot lag eller förordning eller föreskrift som har meddelats med stöd av personuppgiftslagen (1998:204).
24 kap.
Vissa register för forskning om vad arv och miljö betyder för människors hälsa
Förande av och uttag ur register
2 a §
Sekretess gäller i verksamhet som avser förande av eller uttag ur register enligt lagen (0000:000) om vissa register för forskning om vad arv och miljö betyder för människors hälsa för uppgift som avser en enskilds personliga förhållanden och som kan hänföras till den enskilde.
Sekretessen hindrar inte att uppgift lämnas ut i den utsträckning som framgår av den lag som avses i första stycket. Vidare får uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Överföring av sekretess
2 b §
Får en myndighet en uppgift som är sekretessreglerad i 2 a § från den som bedriver verksamhet enligt lagen (0000:000) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, blir 2 a § tillämplig även hos den mottagande myndigheten.
9 §
Den tystnadsplikt som följer av 8 § och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 1 och 2 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
Denna lag träder i kraft den 1 oktober 2013.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2013-05-08
Närvarande: F.d. justitieråden Susanne Billum och Dag Victor samt justitierådet Annika Brickman.
Vissa register för forskning om vad arv och miljö betyder för människors hälsa
Enligt en lagrådsremiss den 18 april 2012 (Utbildningsdepartementet) har regeringen beslutat att inhämta Lagrådets yttrande över förslag till
1. lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa och
2. lag om ändring i offentlighets- och sekretesslagen (2009:400).
Förslaget har inför Lagrådet föredragits av kanslirådet Per Eriksson, biträdd av ämnesrådet Maria Wästfelt.
Förslagen föranleder följande yttrande av Lagrådet:
Förslaget till lag om vissa register för forskning om vad arv och miljö betyder för människors hälsa
2 § tredje stycket
Det har framkommit vid föredragningen att regeringen avses föreskriva vilka universitet som ska få behandla personuppgifter enligt lagen och vilka register som får föras enligt lagen. Detta framgår inte av den föreslagna formuleringen. Lagrådet föreslår att bestämmelsen utformas exempelvis enligt följande.
Regeringen meddelar föreskrifter om vilka universitet och högskolor som får behandla personuppgifter enligt denna lag och vilka register enligt lagen som får föras.
8 §
Enligt vad som anges i andra stycket skulle, med avvikelse från vad som annars gäller enligt 9 § personuppgiftslagen (1998:204), personuppgifter i ett register som förs enligt denna lag inte få behandlas för andra ändamål än som anges i första stycket och i 5 - 7 §§. Av 12 § i förslaget framgår emellertid att avsikten är att regeringen eller den myndighet som regeringen bestämmer ska kunna meddela föreskrifter eller i ett enskilt fall besluta om att sådana personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.
Lagrådet konstaterar att en viss motsättning kan synas föreligga mellan 8 § och 12 §. Med hänsyn till lagens tillfälliga karaktär bör detta dock kunna godtas. Paragrafens lydelse bör dock justeras något, exempelvis enligt följande.
Personuppgifter i ett register som förs enligt denna lag får bara behandlas för sådana ändamål som anges i första stycket och 5 - 7 §§ samt för sådant bevarande som anges i 12 §.
9 § 7
Den inskjutna satsen - "som behövs för att tillgodose den registrerades rätt till information enligt 15 §" - tillför inget till bestämmelsen. Eftersom den är överflödig bör den enligt Lagrådets mening utgå.
10 och 11 §§
Vid föredragningen har upplysts att syftet med 10 § och 11 § är att slå fast att tillgången till personuppgifter ska begränsas till vad var och en behöver för sina arbetsuppgifter och att endast personal som arbetar med den administrativa hanteringen av själva registret ska kunna ha direktåtkomst till detta. De som arbetar med forskning på underlag ur registret ska bara ha tillgång till avidentifierade uppgifter.
Lagrådet förordar att bestämmelserna förtydligas. De kan lämpligen utformas efter mönster av 114 kap. 18 § socialförsäkringsbalken.
13 §
Lagförslaget innehåller i 3 § en allmän bestämmelse om att personuppgiftslagen gäller vid behandling av personuppgifter, om inte annat följer av den föreslagna lagen. Inte desto mindre anges i 13 § att bestämmelserna i personuppgiftslagen om rättelse gäller för behandling av personuppgifter enligt den föreslagna lagen. Att inte personuppgiftslagens bestämmelse om rättelse blir tillämplig redan på grund av den föreslagna 3 § motiveras i remissen (s. 43) med att personuppgiftslagens regler om rättelse endast gäller för personuppgifter som har behandlats i strid med personuppgiftslagen. De skulle sålunda inte utan ett särskilt stadgande bli tillämpliga på personuppgifter som behandlas i strid med den föreslagna lagen.
Även om denna slutsats skulle vara riktig uppnås enligt Lagrådets mening inte det avsedda syftet med den föreslagna utformningen av 13 §, eftersom bestämmelsen i personuppgiftslagen alltjämt är begränsad till behandling i strid med den lagen. Lagrådet anser därför att en annan utformning bör övervägas, exempelvis följande.
Bestämmelserna i 28 § personuppgiftslagen (1998:204) om rättelse tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag.
17 §
I paragrafen anges att bestämmelserna i personuppgiftslagen om skadestånd gäller för behandling av personuppgifter enligt den föreslagna lagen. Av remissen framgår (s. 56) att bestämmelsen motiveras av att skadeståndsansvaret enligt 48 § personuppgiftslagen endast gäller för behandling av personuppgifter i strid med personuppgiftslagen.
Lagrådet hänvisar till vad som anförts under 13 § och föreslår att 17 § utformas på likartat sätt.
Lagrådet ställer sig dessutom frågande till om inte undantag bör göras för jämkningsregeln i 48 § andra stycket personuppgiftslagen med hänsyn till den mycket känsliga karaktären hos de register som avses i den nu föreslagna lagen.
Förslaget till lag om ändring i offentlighets- och sekretesslagen
Lagrådet lämnar förslaget utan erinran.
Utbildningsdepartementet
Utdrag ur protokoll vid regeringssammanträde den 23 maj 2013
Närvarande: Statsministern Reinfeldt, ordförande, och statsråden Bildt, Ask, Larsson, Erlandsson, Hägglund, Carlsson, Borg, Adelsohn Liljeroth, Björling, Ohlsson, Norman, Attefall, Engström, Kristersson, Ullenhag, Ek, Lööf, Arnholm
Föredragande: statsrådet Arnholm
Regeringen beslutar proposition Vissa register för forskning om vad arv och miljö betyder för människors hälsa
Prop. 2012/13:163
Prop. 2012/13:163
104
105
1
Prop. 2012/13:163
Bilaga 1
Prop. 2012/13:163
Bilaga 1
Prop. 2012/13:163
Bilaga 2
Prop. 2012/13:163
Bilaga 2
Prop. 2012/13:163
Bilaga 3
Prop. 2012/13:163
Bilaga 3
Prop. 2012/13:163
Bilaga 4
Prop. 2012/13:163
Bilaga 4
Prop. 2012/13:163
Bilaga 5
Prop. 2012/13:163
Bilaga 5
Prop. 2012/13:163
Bilaga 6
Prop. 2012/13:163
Bilaga 6
Prop. 2012/13:163
Bilaga 7
Prop. 2012/13:163
Bilaga 7
Prop. 2012/13:163
Bilaga 8
Prop. 2012/13:163
Bilaga 8
Prop. 2012/13:163
Prop. 2012/13:163